Условия использования платформы Standoff 365

В соответствии со ст. 435 Гражданского кодекса РФ настоящие условия использования (далее — Соглашение) являются размещаемой Positive Technologies (далее — Компания) публичной офертой на участие в конкурсах, мероприятиях и соревнованиях на платформе Standoff 365 (далее — Standoff). Соглашение адресовано неограниченному кругу лиц на указанных ниже условиях. Используя сайт standoff365.com (далее — Платформа), пользователь Платформы безоговорочно принимает условия настоящего соглашения.

Предмет соглашения

  1. Компания предоставляет возможность использования Платформы, в том числе для участия в конкурсах, мероприятиях и соревнованиях, организовываемых на Платформе. Соглашение определяет общие условия использования Платформы. Специальные условия участия в соревновании Standoff, а также специальные условия конкурса Bug Bounty определены в приложениях к Соглашению.

Регистрация на Платформе

  1. Для участия в соревновании Standoff и в конкурсе Bug Bounty (далее — Мероприятия) физическому лицу (далее — Пользователь) необходимо зарегистрироваться на странице Платформы по следующему адресу: auth.standoff365.com/ru-RU/account/registration.
  2. Без регистрации Пользователю доступно ограниченное количество страниц Платформы.
  3. При регистрации Пользователь обязан предоставить полную, достоверную и не нарушающую законодательство Российской Федерации информацию о себе. Объем предоставляемой информации определяется в форме для регистрации.
  4. При регистрации Пользователь должен предоставить свои персональные данные. В этом случае основанием обработки персональных данных является исполнение настоящего соглашения, стороной которого является Пользователь.
  5. Регистрируясь, Пользователь безоговорочно принимает условия Соглашения, а также условия положения о конкурсе, размещенные по адресу standoff365.com/ru-RU/regulation-on-contests.
  6. Компания вправе отказать Пользователю в регистрации без объяснения причин и без последующего уведомления о таком отказе.
  7. После регистрации Пользователь получает доступ к полной функциональности Платформы, связанной с участием в Мероприятиях.
  8. При регистрации Пользователь заполняет следующую информацию о себе в специальной форме на Платформе:
    • никнейм (псевдоним);
    • адрес электронной почты;
    • пароль, содержащий заглавные латинские буквы (A–Z), строчные латинские буквы (a–z), цифры (0–9), специальные символы (,.<>/?;:'"[]{}|`~!@#$%^&*()-_+=). Пароль должен состоять как минимум из 10 символов и содержать как минимум одну заглавную букву, одну строчную букву, один спецсимвол и одну цифру.
  9. Компания отправляет на адрес электронной почты Пользователя письмо, содержащее ссылку для подтверждения адреса электронной почты.
  10. После подтверждения Пользователь получает уведомление об успешном завершении регистрации, доступ к своему личному кабинету на Платформе и функциональности, доступной на Платформе.
  11. В личном кабинете Пользователь может управлять своими персональными данными.

Запрещенные действия

Пользователю Платформы не разрешаются следующие действия:

  1. Попытки получения доступа к персональной информации другого пользователя Платформы любыми способами, включая, помимо прочего, введение в заблуждение, злоупотребление доверием и взлом Платформы.
  2. Действия, включая технические, направленные на создание помех нормальному функционированию Платформы.
  3. Использование любых технических средств сбора и обработки информации Платформы, включая персональные данные других пользователей Платформы.
  4. Попытки обхода технических ограничений.
  5. Копирование, изменение, создание производных работ, декомпилирование, анализ дизассемблером и попытки извлечения исходного кода Платформы, а также любые другие изменения Платформы.
  6. Любое введение в заблуждение пользователей Платформы или представителей Компании.
  7. Выдача себя за другое лицо или за его представителя без соответствующих полномочий, в том числе выдача себя за Компанию или ее сотрудников, а также применение любых других форм и методов незаконной выдачи себя за других физических или юридических лиц.
  8. Использование информации о номерах телефонов, почтовых адресах и адресах электронной почты для рассылки коммерческих или некоммерческих сообщений (спама).
  9. Использование контента Платформы, включая помимо прочего текст и изображения.
  10. Использование товарных знаков Компании. Платформа может также включать в себя товарные знаки третьих сторон. Такие товарные знаки размещены на Платформе исключительно для информации, и Компания не является их правообладателем. Использование таких товарных знаков также запрещено.

Запросы пользователей Платформы

  1. Компания имеет право предоставлять пользователям Платформы поддержку и консультации по адресу электронной почты org@standoff365.com.
  2. При подаче запроса пользователь Платформы должен указать свои контактные данные. Запрос может включать в себя вложенные документы.
  3. Запросы рассматриваются следующим образом:
    • В течение 15 (пятнадцати) рабочих дней с момента получения запроса Компания проверяет его на полноту информации.
    • Если предоставленных данных достаточно, в течение 50 (пятидесяти) рабочих дней с момента проверки запроса Компания направляет на электронный адрес пользователя Платформы обоснованный ответ.
    • Если предоставленной пользователем Платформы информации недостаточно, Компания запрашивает дополнительную информацию, направив письмо по адресу электронной почты пользователя Платформы. Предоставить дополнительную информацию пользователь Платформы должен в течение 5 (пяти) рабочих дней с момента соответствующего запроса Компании.
    • Если пользователь Платформы не предоставляет дополнительную информацию и (или) документы, то запрос пользователя Платформы считается отозванным.

Права Компании

Компания имеет право на следующие действия:

  1. Установление любых ограничений на использование Платформы пользователем.
  2. Сбор любой информации для составления статистики использования Платформы.
  3. Выполнение запланированных технических работ с приостановкой работы Платформы.

Персональные данные

  1. Компания обрабатывает персональные данные пользователей Платформы в соответствии с Соглашением, включая специальные условия участия, указанные в п. 1.1 Соглашения, и согласно требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных). Мы также принимаем во внимание требования других нормативных актов о персональных данных, включая General Data Protection Regulation (GDPR) и California Consumer Privacy Act (CCPA).
  2. Процедура обработки персональных данных и обеспечения их безопасности установлена в политике конфиденциальности Компании.
  3. Если пользователь Платформы обрабатывает персональные данные третьих лиц, то пользователь Платформы несет ответственность за обеспечение защиты информации в соответствии с Законом о персональных данных, GDPR, CCPA, а также в соответствии с другими законами и подзаконными актами.

Ограничение ответственности

  1. Компания не несет ответственности:
    • за убытки пользователя Платформы;
    • недоступность Платформы по причинам, находящимся вне сферы контроля Компании;
    • любые действия поставщиков услуг или их бездействие;
    • функционирование сторонних служб, программного обеспечения и оборудования;
    • повреждение оборудования, носителей информации и программного обеспечения пользователя Платформы, вызванное использованием Платформы.
  2. Ответственность Компании не может превышать 10 000 (десяти тысяч) рублей.
  3. В случае любых претензий, требований или исков, связанных с нарушением прав третьих сторон вследствие нарушения пользователем Платформы законодательства Российской Федерации, пользователь Платформы обязан принять меры по урегулированию соответствующих претензий и компенсировать Компании ущерб при его наличии.

Срок действия соглашения

  1. Настоящее соглашение вступает в силу в момент его принятия и сохраняет свою силу в течение двух месяцев после окончания последнего мероприятия, указанного в соглашении.
  2. Настоящее соглашение может быть расторгнуто по запросу пользователя Платформы путем направления запроса на адрес электронной почты org@standoff365.com.

Урегулирование споров

  1. Все возникающие между Компанией и пользователем Платформы споры подлежат урегулированию путем предоставления ответа на претензию в течение 30 (тридцати) дней с момента ее получения.
  2. Есть стороны не пришли к соглашению, спор может быть урегулирован в суде по месту нахождения Компании.
  3. Применимым правом является законодательство Российской Федерации.
  4. Компания имеет право участвовать в разрешении споров между пользователями Платформы.

Заключительные положения

  1. Компания вправе направлять на электронный адрес Пользователя связанные с Мероприятием и (или) необходимые для участия в нем документы, сообщения, уведомления, запросы и информацию.
  2. Компания имеет право в любое время изменить или дополнить настоящее соглашение без дополнительного уведомления в адрес пользователя Платформы. Новая версия соглашения вступает в силу после ее публикации по адресу standoff365.com/ru-RU/terms-of-use.
  3. Вопросы, не охваченные настоящим соглашением, подлежат урегулированию в соответствии с законодательством Российской Федерации.
  4. В случае если какое-либо положение настоящего соглашения в соответствии с законодательством Российской Федерации будет признано недействительным, то все остальные положения настоящего соглашения сохранят свою силу и стороны будут исполнять настоящее соглашение без учета такого недействительного положения.

Информация о Компании

Positive Technologies
Адрес: 107061, г. Москва, Преображенская пл., д. 8
Тел.: +7 495 744 01 44
Факс: +7 495 744 01 87

Приложение № 1 к Условиям использования платформы Standoff 365. Условия участия в киберучениях Standoff

Киберучения Standoff (далее — Киберучения, Standoff) проводятся в рамках конференции Positive Hack Days. Киберучения предназначены для специалистов в области информационной безопасности, которые соответствуют требованиям к участию, установленным Positive Technologies (далее — Организатор). Киберучения проводятся с целью повышения осведомленности общества в вопросах информационной безопасности.

Участие в Киберучениях означает принятие условий участия в киберучениях Standoff (далее — Условия).

К участию в Киберучениях допускаются достигшие 18 лет лица или лица, которые приобрели дееспособность в соответствии с законодательством тех юрисдикций, в которых они регистрируются на участие в Киберучениях (далее — Участники).

Участие в Киберучениях бесплатно; однако поскольку вход на сайт Киберучений возможен только через интернет, каждый пользователь должен будет нести все связанные с этим расходы (включая расходы на средства подключения к интернету, в том числе компьютер, модем и любое другое подобное устройство).

Цель Киберучений

Киберучения будут проводиться на платформе Standoff 365. Платформа позволяет проводить киберучения Standoff для исследования атак на информационную инфраструктуру и приложения, а также для реагирования на инциденты.

На платформе разворачиваются киберполигоны. В них воссоздаются информационные системы и процессы, характерные для предприятий определенной отрасли — торговых фирм, банков, телеком-операторов, промышленных предприятий. Каждая отрасль может включать в себя один или несколько сервисов, которые регулируют деятельность организации или обеспечивают ее информационную безопасность. Сервисами могут быть, например, почтовый сервер, FTP-сервер, база данных клиентов, система документооборота, межсетевой экран, система управления светофорами, ветрогенераторы.

Участники распределены по командам и объединены общей целью. В Standoff предусмотрены два типа команд — команда атакующих и команда защитников. Командам предстоит реализовать полный спектр сценариев обеспечения кибербезопасности, смоделировать все циклы испытаний и всего за несколько дней воссоздать события, для которых в реальной жизни могут потребоваться годы. Мероприятие предоставляет атакующим и защитникам уникальный шанс проверить свои навыки на моделях близкой к реальной IT-инфраструктуры, в том числе на цифровых копиях инфраструктуры, принадлежащих реальным компаниям, которые хотят протестировать собственные системы информационной безопасности.

Организатор

Positive Technologies, ведущий глобальный поставщик решений в области информационной безопасности, корпоративных приложений для управления уязвимостями, обеспечения соответствия требованиям регулирующих организаций, анализа инцидентов и угроз, защиты приложений. Юридический адрес: Российская Федерация, город Москва, Преображенская пл., д. 8.

Требования к участникам

Принять участие в Киберучениях могут физические лица, подавшие заявку и приглашенные Организатором.

Место и время проведения Киберучений

Киберучения проводятся онлайн. Статус Киберучений можно посмотреть на платформе standoff365.com. Подробные сведения будут поступать на платформу Standoff 365 и регулярно обновляться.

Правила Киберучений

  1. Команды

    В Standoff принимают участие два типа команд — команда атакующих и команда защитников. Цель атакующих — реализовывать недопустимые события, например парализовать работу АСУ ТП или получить доступ к конфиденциальной информации. Задача защитников — своевременно выявлять и расследовать инциденты.

    Подключение осуществляется через VPN-сервер с помощью данных, полученных от Организатора в процессе подготовки.

    Киберучения ограничены по времени. Оставшееся до конца киберучений время отображается на платформе Standoff 365. В киберучениях предусмотрена возможность технических перерывов.

    Атакующие

    В ходе киберучений атакующие должны реализовать недопустимые события, выполняя предоставленные задания, и получать за это баллы. Разрешается атаковать только сервисы информационной инфраструктуры, расположенные по адресам, предоставленным Организаторами. Атаки на адреса, не входящие в список предоставленных, не учитываются при начислении баллов. Сервисы, расположенные за пределами инфраструктуры, предоставленной организаторами, не входят в рамки полигона и запрещены для атак.

    Внимание! За использование служебных учетных записей или попытку получения доступа к ним Организатор может отстранить команду от киберучений. Список служебных учетных записей будет опубликован во время мероприятия.

    Внимание! За атаку на адреса, не входящие в предоставленный список, Организатор может отстранить команду от киберучений. Кроме того, командам запрещается проводить DoS- и DDoS-атаки на службы, сервисы и приложения инфраструктуры полигона, в том числе атаки на сетевом уровне. Организаторы могут отстранить от киберучений команду, которая проводит такие атаки.

    Защитники

    Основная цель защитников — обнаружение и расследование инцидентов, вызванных действиями атакующих. В ходе киберучений команда защитников получает опыт по защите инфраструктуры в условиях, максимально приближенных к реальным.

    Киберучения ограничены по времени. Оставшееся до конца киберучений время отображается на платформе Standoff 365.

    Команда защитников заранее (обычно за месяц) получает доступ к полигону и может с ним ознакомиться. Команде предоставляются конфигурационные файлы, данные учетной записи для подключения и другая информация, необходимая для участия.

    При ознакомлении с инфраструктурой полигона команды защиты получают доступ к сканеру уязвимостей. Учетные записи от объектов инфраструктуры для инвентаризации и сканирования командам выдаются Организатором. Команда может использовать любой другой сканер уязвимостей, но устанавливает его самостоятельно. После ознакомления с полигоном команда предоставляет Организатору список средств защиты, которые она планирует использовать, а также схему их размещения. В общем случае команды ограничены следующими классами средств защиты: next-generation firewalls (NGFW), application firewalls (AF), security information and event management (SIEM). Использование иных средств защиты согласовывается с Организатором отдельно.

  2. Подсчет баллов и определение победителей

    Выполнение заданий Организатор оценивает по собственному усмотрению. Команды атакующих за свои действия получают баллы, а действия команд защитников оцениваются в виде метрик.

    Атакующие могут зарабатывать баллы следующими способами:

    • За выполнение заданий, предлагаемых Организатором. Такие задания могут включать, например, получение конфиденциальной информации, отключение одного или нескольких сервисов или несанкционированное изменение информации на тестовом сайте. Задание считается выполненным, если ответ на него был принят как верный. Чтобы отправить ответ на проверку, нужно представить отчет в определенном формате (шаблон отчета можно скачать на странице недопустимого события).

      За каждое выполненное задание атакующим начисляются баллы. Кроме того, Организатор может оценить работу команды и начислить дополнительные или снять штрафные баллы. Команда, которая выполнила задание первой, получает максимальный балл. В случае если две команды выполнили задание одновременно, организаторы могут начислить обеим командам максимальный балл.

      Если в отчете недостаточно информации о том, как было выполнено задание, отчет не принимается и баллы не начисляются. В этом случае Организатор оставляет в личном кабинете соответствующий комментарий с замечаниями к сданному отчету. После исправления недостатков отчет можно сдать повторно.

    • За поиск уязвимостей. Чтобы найденная уязвимость была зачтена Организатором, нужно представить отчет в произвольной форме. В отчете необходимо привести пример эксплуатации уязвимости и — в зависимости от типа обнаруженной уязвимости — получить баннер с версией СУБД, прочитать локальный файл, отправить произвольный HTTP-запрос или показать вывод команд ipconfig/ifconfig, whoami или id. Принимаются только определенные классы уязвимостей — RCE, SQLi, Path Traversal, XXE, SSRF.

      За каждую найденную и принятую Организатором уязвимость команда получает баллы.

    Действия защитников оцениваются в виде следующих метрик:

    • Количество зафиксированных инцидентов. Перед командой защитников в первую очередь стоит задача выявлять инциденты на защищаемых ими предприятиях. В процессе противостояния команды защитников могут отправлять отчеты о выявленных ими инцидентах в определенном формате (шаблон отчета и пример заполнения доступны на платформе Standoff 365).

      Отчеты Организатор оценивает по собственному усмотрению. Если в отчете недостаточно информации, Организатор не принимает такой отчет и оставляет соответствующий комментарий к нему на игровом портале. Отчет можно скорректировать и сдать повторно.

      В истории защищаемого объекта на платформе Standoff 365 будет периодически обновляться информация о том, какое количество инцидентов было зафиксировано командой защитников. Если команда защитников не зафиксировала какие-то инциденты, но их зафиксировал Организатор, будет выводиться информация от Организатора.

    • Среднее время расследования атаки. После того как Организатор примет отчет о реализации недопустимого события от команды атакующих, команде защитников предоставляется информация о том, какое недопустимое событие было реализовано. Задачей команды защитников становится расследование этого недопустимого события. На игровом портале появляется таймер, который ведет отсчет времени проводимого расследования. Команда защитников должна представить Организатору отчет о расследовании реализации недопустимого события в определенном формате (шаблон отчета и пример заполнения доступны на платформе Standoff 365).

      Отчеты Организатор оценивает по собственному усмотрению. Если в отчете недостаточно информации о действиях команды атакующих, отчет не принимается, о чем делается пометка на игровом портале. По оставленному Организатором комментарию команда защитников может провести дополнительное расследование, доработать отчет и повторно отправить его на проверку.

      После того как Организатор принял от команды защитников отчет о расследовании реализации недопустимого события, фиксируется время, за которое расследование было выполнено. При этом время, которое отчет находился на проверке у Организатора, не учитывается.

Подробная информация о правилах киберучений доступна по адресу standoff365.com/downloads/standoff_rules.

Объявление и проверка победителей

Во время Киберучений защитники получают опыт поддержания инфраструктуры в предельно реалистичных условиях. Результаты защитников будут отображаться на табло только в информационных целях.

Победители будут определяться только среди атакующих. Победители будут объявлены на платформе Standoff 365 (standoff365.com) в течение 5 рабочих дней после завершения Киберучений. Организатор вправе провести по своему усмотрению проверку соответствия команды, победившей в Киберучениях, настоящим условиям. Участники понимают и признают, что хотя их команда может быть объявлена победительницей, в случае если любой из членов команды или вся команда не пройдет такую проверку, Организатор выберет для этой цели другую команду.

Личность победителя

В случае разногласий, связанных с личностью победителя, личность будет устанавливаться в числе прочего с учетом адреса электронной почты, указанного при регистрации на участие в Киберучениях, то есть победителем будет признано то лицо, которому адрес электронной почты был присвоен поставщиком онлайн-услуг или лицом, ответственным за присвоение адресов электронной почты в домене, связанном с указанным адресом. Организатор оставляет за собой право потребовать у победителя, установленного таким способом, предоставить соответствующие доказательства владения адресом электронной почты.

Персональные данные

Принимая участие в Киберучениях, участники соглашаются на предоставление Организатору персональных данных в соответствии с политикой конфиденциальности. Если Организатор не получает необходимые данные, участник может быть отстранен от участия. Все персональные данные, собираемые Организатором в рамках Киберучений, будут использоваться только для проведения Киберучений (и соответствующих целей, обозначенных в настоящем соглашении и в политике конфиденциальности).

Ограничение ответственности

Организатор не несет ответственности перед участниками за любой прямой, косвенный, фактический и возможный ущерб или убытки, связанные с Киберучениями или с настоящими условиями. Участники соглашаются освободить и оградить Организатора и его работников, должностных лиц, дочерние компании, агентов, партнеров, экспертов Организатора, рекламные агентства и агентства по продвижению от ответственности за любые повреждения, травмы, претензии, основания для предъявления исков, обязательства или убытки любого рода (включая фактические расходы, в том числе вознаграждение за преставление интересов в суде), прямые и косвенные, абсолютные или зависящие от обстоятельств, возникающие в связи с а) несоблюдением участником любого из правил Киберучений; б) предоставлением участником Организатору любых неверных данных; или в) участием в Киберучениях.

Интернет

Организатор не несет ответственности:

  • за ошибки, возникающие при передаче информации в электронном виде, приводящие к любым отказам, сбоям, удалению, потере или задержке в передаче данных;
  • функциональные нарушения или технические ограничения в работе сети, системы телефонной связи, электронного оборудования, компьютеров, аппаратного или программного обеспечения, возникшие в результате кражи, разрушения оборудования и несанкционированного доступа к платформе;
  • технические проблемы, перегрузку трафика или любую комбинацию проблем, возникших на сайте в результате неточной передачи данных или отсутствия доступа к платформе.

В случае если компьютерный вирус, ошибка в программе, незаконное изменение данных, противоправное вмешательство, умышленное нарушение правил, техническая неисправность или другая причина приводят к неспособности Участников выполнить планируемую часть Киберучений и (или) если существует угроза безопасности или законности проведения Киберучений, Организатор сохраняет за собой право по своему усмотрению отменить, прекратить, изменить функциональность платформы или приостановить Киберучения.

Видео- и фотосъемка

Принимая участие в Киберучениях, участники соглашаются на фото- и видеосъемку, проводимую Организатором или его подрядчиками, без выплаты вознаграждения за такую съемку. Участники понимают, что фотографии и видеоматериалы могут транслироваться, отображаться, воспроизводиться, редактироваться, выставляться, использоваться и передаваться Организатором через интернет и (или) другой канал связи, существующий сегодня или создаваемый в дальнейшем, с целью продвижения, получения доходов и (или) в других целях, определяемых Организатором по своему абсолютному усмотрению. Это право прямо включает использование имени, образа и (или) голоса участника. Участник может отказаться от фото- или видеосъемки, сообщив Организатору при регистрации на участие в Киберучениях об отказе от фото- или видеосъемки.

Правила поведения Участников

При участии в Киберучениях запрещены оскорбительные высказывания, касающиеся пола, гендерной идентичности и самовыражения, возраста, сексуальной ориентации, физических недостатков, внешности, размера тела, расы, этнической принадлежности, национальности, религии; изображения сексуального характера в общественных местах, умышленное запугивание, сталкинг, слежение, фото-, аудио- или видеосъемка против воли, постоянный срыв переговоров или других событий, неприемлемый физический контакт и проявление нежелательного сексуального интереса. Участники, к которым обратились с просьбой прекратить поведение подобного рода, обязаны незамедлительно ее выполнить.

Информация об уязвимостях, заложенных Организатором в киберполигоне, не является конфиденциальной и Участники вправе свободно разглашать ее. Вместе с тем Участники не вправе разглашать информацию об уязвимостях нулевого дня и (или) критически опасных уязвимостях, которые не были заложены Организатором.

Контактная информация

По любым вопросам, касающимся Киберучений, обращайтесь по адресу org@standoff365.com.

Законодательство

Настоящие условия подготовлены и составлены в соответствии с законодательством Российской Федерации.

Делимость

Если какая-либо из частей Условий будет признана недействительной или не имеющей законной силы, все прочие части Условий останутся в силе в полном объеме.

Приложение № 2 к Условиям использования платформы Standoff 365. Условия использования Платформы при участии в конкурсе Bug Bounty

  1. Для участия в конкурсе Bug Bounty (далее — Конкурс) физическому лицу — участнику Конкурса (далее — Пользователь) необходимо зарегистрироваться на странице Платформы в порядке, предусмотренном разд. 2 Соглашения.
  2. Регистрируясь, Пользователь принимает условия Соглашения, а также условия положения о конкурсе, размещенные по адресу standoff365.com/ru-RU/regulation-on-contests.
  3. После регистрации Пользователь получает доступ к своему личному кабинету на Платформе.
  4. Пользователь, используя функциональность в личном кабинете Платформы, отправляет отчет о выполнении задания в соответствии с условиями Конкурса. При отправке отчета Пользователь обязан предоставить полную, достоверную и не нарушающую законодательство Российской Федерации информацию. Объем предоставляемой информации определяется в форме отправки отчета.
  5. Дополнительные сведения, которые должны быть предоставлены победителями Конкурса для получения приза:
    • фамилия, имя, отчество;
    • адрес регистрации;
    • паспортные данные: серия, номер, дата выдачи, код подразделения, кем выдан;
    • дата и год рождения;
    • СНИЛС;
    • ИНН;
    • банковские реквизиты.
  6. Основанием для обработки персональных данных Пользователя в рамках участия в Конкурсе является исполнение настоящего соглашения и положения о конкурсе, стороной которого является Пользователь.
  7. Победители дают согласие на создание своего публичного профиля на Платформе, содержащего следующую информацию:
    • никнейм;
    • имя и фамилия;
    • набранное количество баллов,
    • количество направленных отчетов,
    • максимальный уровень опасности найденных уязвимостей.

Приложение № 3 к Условиям использования платформы Standoff 365. Условия участия в киберучениях на платформе Standoff 365

Киберучения на платформе Standoff 365 (далее — Киберучения) — это комплекс онлайн-мероприятий, предназначенных для специалистов по информационной безопасности. Участники Киберучений должны соответствовать требованиям, установленным Positive Technologies (далее — Организатор). Киберучения проводятся для повышения осведомленности общества в вопросах информационной безопасности. Участие в Киберучениях означает принятие условий участия в киберучениях на платформе Standoff 365 (далее — Условия).

Участие в Киберучениях бесплатно. Однако, поскольку вход на сайт Киберучений возможен только через интернет, каждый пользователь должен нести все связанные с этим расходы (включая расходы на средства подключения к интернету — компьютер, модем и любое другое подобное устройство).

Цель Киберучений

Киберучения проводятся на платформе Standoff 365. Участники Киберучений могут исследовать атаки, нацеленные на информационную инфраструктуру и приложения.

На платформе разворачиваются виртуальные киберполигоны, на которых воссоздаются информационные системы и процессы, характерные для предприятий определенной отрасли экономики (например, банков, электроэнергетических и ИТ-компаний). Каждая отрасль может включать в себя один или несколько сервисов, которые регулируют деятельность организации или обеспечивают ее информационную безопасность. Такими сервисами могут быть, например, почтовый сервер, FTP-сервер, база данных клиентов, система документооборота, межсетевой экран, система управления светофорами, ветрогенераторы, счетчики электроэнергии и электроподстанции.

Участники Киберучений стремятся нарушить штатную работу представленных информационных систем, реализуя недопустимые события и эксплуатируя уязвимости.

Организатор

Positive Technologies, ведущий глобальный поставщик решений в области информационной безопасности, корпоративных приложений для управления уязвимостями, обеспечения соответствия требованиям регулирующих организаций, анализа инцидентов и угроз, защиты приложений. Юридический адрес: Российская Федерация, город Москва, Преображенская пл., д. 8.

Требования к Участникам

К участию в Киберучениях допускаются физические лица, достигшие 18 лет, и лица, которые приобрели дееспособность в соответствии с законодательством тех юрисдикций, в которых они регистрируются на участие в Киберучениях (далее — Участники). Для участия в Киберучениях необходимо зарегистрироваться на сайте standoff365.com.

Место и время проведения Киберучений

Киберучения проводятся онлайн 365 дней в году (за исключением технических перерывов). Подробные сведения о Киберучениях регулярно обновляются на платформе Standoff 365.

Правила Киберучений

  1. Общие условия

    На киберполигоне Участники киберучений имитируют действия злоумышленников при атаке на информационную систему компании (предприятия). Цель атакующих — реализовывать недопустимые события, выполняя предоставленные задания (например, подменить данные в АСУ ТП или получить доступ к конфиденциальной информации), и получать за это баллы. Разрешается атаковать только сервисы информационной инфраструктуры, расположенные по адресам, предоставленным Организаторами. Атаки на адреса, не входящие в список предоставленных, не учитываются при начислении баллов. Сервисы, расположенные за пределами инфраструктуры, предоставленной организаторами, не входят в рамки полигона, и атаковать их запрещено.

    Внимание! За использование служебных учетных записей или попытку получения доступа к ним Организатор может отстранить Участника от киберучений. Список служебных учетных записей будет опубликован во время мероприятия.

    Внимание! За атаку на адреса, не входящие в предоставленный список, Организатор может отстранить Участника от киберучений. Кроме того, Участникам запрещается проводить DoS- и DDoS-атаки на службы, сервисы и приложения инфраструктуры полигона, в том числе атаки на сетевом уровне. Организаторы могут отстранить от киберучений Участника, который проводит такие атаки.

    Подключение осуществляется через VPN-сервер с помощью личного кабинета Участника на платформе standoff365.com. В Киберучениях возможны технические перерывы.

  2. Получение баллов

    Участники Киберучений могут зарабатывать баллы следующими способами:

    • За реализацию недопустимых событий. Под реализацией недопустимых событий понимается, например, кража конфиденциальных данных, отключение одного или нескольких сервисов или несанкционированное изменение информации на тестовом сайте. Условия, необходимые для реализации недопустимого события, описаны в задании. Событие считается реализованным, если участник представил отчет с верным ответом на задание. Ответ должен содержать набор символов (флаг), который участнику необходимо найти в анализируемой информационной системе. Флаги заранее определены Организатором.

      За каждое выполненное задание Участнику начисляются баллы. Кроме того, Организатор может оценить проделанную Участником работу и начислить ему дополнительные баллы.

      Если отчет не принят системой, то Участнику необходимо сдать новый отчет (флаг).

    • За поиск уязвимостей. Чтобы найденная уязвимость была зачтена Организатором, нужно представить отчет с набором символов (флагом). Представленный флаг должен совпадать с флагом, заранее определенным Организатором. Принимаются отчеты только об определенных типах уязвимостей: удаленном выполнении кода (RCE), внедрении SQL-кода (SQLi), обходе каталога (Path Traversal), подмене запросов на стороне сервера (SSRF).

Посмотреть количество начисляемых баллов за реализацию недопустимых событий и поиск уязвимостей можно на игровом портале standoff365.com.

Объявление результатов

На сайте standoff365.com публикуется рейтинг, в котором Участники ранжируются по набранным ими баллам в порядке убывания.

Персональные данные

Принимая участие в Киберучениях, участники соглашаются на предоставление Организатору персональных данных в соответствии с политикой конфиденциальности. Если Организатор не получает необходимые данные, участник может быть отстранен от участия. Все персональные данные, собираемые Организатором в рамках Киберучений, будут использоваться только для проведения Киберучений (и соответствующих целей, обозначенных в настоящем соглашении и в политике конфиденциальности).

Ограничение ответственности

Организатор не несет ответственности перед участниками за любой прямой, косвенный, фактический и возможный ущерб или убытки, связанные с Киберучениями или с настоящими условиями. Участники соглашаются освободить и оградить Организатора и его работников, должностных лиц, дочерние компании, агентов, партнеров, экспертов Организатора, рекламные агентства и агентства по продвижению от ответственности за любые повреждения, травмы, претензии, основания для предъявления исков, обязательства или убытки любого рода (включая фактические расходы, в том числе вознаграждение за преставление интересов в суде), прямые и косвенные, абсолютные или зависящие от обстоятельств, возникающие в связи с а) несоблюдением участником любого из правил Киберучений; б) предоставлением участником Организатору любых неверных данных; или в) участием в Киберучениях.

Интернет

Организатор не несет ответственности:

  • за ошибки, возникающие при передаче информации в электронном виде, приводящие к любым отказам, сбоям, удалению, потере или задержке в передаче данных;
  • функциональные нарушения или технические ограничения в работе сети, системы телефонной связи, электронного оборудования, компьютеров, аппаратного или программного обеспечения, возникшие в результате кражи, разрушения оборудования и несанкционированного доступа к платформе;
  • технические проблемы, перегрузку трафика или любую комбинацию проблем, возникших на сайте в результате неточной передачи данных или отсутствия доступа к платформе.

В случае если компьютерный вирус, ошибка в программе, незаконное изменение данных, противоправное вмешательство, умышленное нарушение правил, техническая неисправность или другая причина приводят к неспособности Участников выполнить планируемую часть Киберучений и (или) если существует угроза безопасности или законности проведения Киберучений, Организатор сохраняет за собой право по своему усмотрению отменить, прекратить, изменить функциональность платформы или приостановить Киберучения.

Правила поведения Участников

При участии в Киберучениях запрещены оскорбительные высказывания, касающиеся пола, гендерной идентичности и самовыражения, возраста, сексуальной ориентации, физических недостатков, внешности, размера тела, расы, этнической принадлежности, национальности, религии; изображения сексуального характера в общественных местах, умышленное запугивание, сталкинг, слежение, фото-, аудио- или видеосъемка против воли, постоянный срыв переговоров или других событий, неприемлемый физический контакт и проявление нежелательного сексуального интереса. Участники, к которым обратились с просьбой прекратить поведение подобного рода, обязаны незамедлительно ее выполнить.

Информация об уязвимостях, заложенных Организатором в киберполигоне, не является конфиденциальной и Участники вправе свободно разглашать ее. Вместе с тем Участники не вправе разглашать информацию об уязвимостях нулевого дня и (или) критически опасных уязвимостях, которые не были заложены Организатором.

Контактная информация

По любым вопросам, касающимся Киберучений, обращайтесь по адресу org@standoff365.com.

Законодательство

Настоящие условия подготовлены и составлены в соответствии с законодательством Российской Федерации.

Делимость

Если какая-либо из частей Условий будет признана недействительной или не имеющей законной силы, все прочие части Условий останутся в силе в полном объеме.