Платформа Yandex.Cloud прошла добровольную аттестацию на УЗ-1
ООО «Кард сек» совместно с «Национальным аттестационным центром» (НАЦ), входящим в группу компаний «Информзащита», провели добровольную аттестацию информационной системы персональных данных платформы Yandex.Cloud на уровень защищенности УЗ-1. Сотрудники компании «Кард Сек» выполнили подготовку к аттестации, а НАЦ провел непосредственно саму аттестацию. Проект масштабный: платформа, расположена на базе трех площадок, находящихся в разных городах, что является необходимым условием катастрофоустойчивости системы.
Платформа Yandex.Cloud получила аттестат соответствия, утверждающий, что она обеспечивает первый уровень защищенности обрабатываемых персональных данных. Это позволяет клиентам Yandex.Cloud аттестовать собственные системы, подтверждает высокий уровень безопасности размещенных в облаке данных, а также даёт возможность хранить и обрабатывать все категории персональных данных.
Yandex.Cloud – облачная платформа, где каждый может создавать и совершенствовать свои цифровые сервисы, используя инфраструктуру и уникальные технологии Яндекса. В 2020 году количество крупных клиентов платформы увеличилось более чем в 2 раза, а объем потребления ими сервисов Yandex.Cloud вырос почти в 5 раз.
Ввиду того, что платформа реализована на ПО собственной разработки «Яндекса», экспертами НАЦ были специально разработаны и адаптированы методики испытаний с учетом особенностей архитектуры платформы и того факта, что на момент испытаний система уже находилась в состоянии полноценного коммерческого использования. Проведенные испытания никак не повлияли на работоспособность платформы и прошли незаметно для пользователей и клиентов. В рамках проекта эксперты аттестационного центра «Информзащиты» провели полное обследование ИТ-инфраструктуры сервиса и выработали рекомендации по обеспечению требуемого уровня информационной безопасности. Члены аттестационной комиссии отметили высокий уровень автоматизации процессов, обеспечивающих инвентаризацию и учет активов, что сыграло большую роль в сокращении сроков проведения работ.
Одной из особенностей проекта стало то, что в границы аттестации, помимо информационно-телекоммуникационной инфраструктуры ЦОД (IaaS), дополнительно были включены нативные сервисы Yandex.Cloud по различным моделям предоставления услуг, включая PaaS и SaaS, которые также подтвердили соответствие требованиям, предъявляемым к первому уровню защищенности персональных данных. Такой подход позволил избежать дублирования проводимых испытаний, а также расширить потенциальную аудиторию предоставляемых провайдером сервисов.