Заказчики: Яндекс.Облако (Yandex.Cloud) Подрядчики: Card Security (Кард Сек) Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)Дата проекта: 2020/07 — 2024/02
|
Технология: ИБ - Антивирусы
Технология: ИБ - Антиспам
Технология: ИБ - Аутентификация
Технология: ИБ - Межсетевые экраны
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Резервное копирование и хранение данных
Технология: ИБ - Средства шифрования
|
2024: Повторная аттестация на соответствие защищенности персональных данных УЗ-1
Национальный аттестационный центр (входит в ГК «Информзащита») совместно с компанией «Кард Сек» провел повторную аттестацию публичной облачной платформы Yandex Cloud на соответствие высшему уровню защищенности персональных данных УЗ-1.
Данный проект оценивается как масштабный - платформа расположена в четырех географически распределенных дата-центрах, что обеспечивает катастрофоустойчивость системы. На этих площадках работают более 29 тысяч клиентов Yandex Cloud, которые размещают на платформе приложения, сервисы, корпоративные и аналитические хранилища данных.
По причине того, что все сервисы Yandex Cloud были разработаны непосредственно самим заказчиком (даже серверные стойки для дата-центров), эксперты НАЦ еще в рамках аттестации в 2021 году создали и адаптировали новые методики испытаний, в которых учли особенности платформы. Тогда же специалисты полностью обследовали ИТ-инфраструктуру Yandex Cloud и выработали рекомендации для обеспечения высшего уровня информационной безопасности, реализованные заказчиком. По итогу система была успешно аттестована.
В 2024 году при аттестации Yandex Cloud эксперты НАЦ разработали обновленный технический паспорт платформы (согласно приказу ФСТЭК России от 29 апреля 2021 г. N 77), усовершенствовав порядок основных сведений о системе, что в свою очередь упростило работу с некоторыми документами.
Помимо того, в рамках проекта эксперты НАЦ добавили решения: Yandex Cloud Organization – единый сервис для управления составом организации, настройки интеграции с каталогом сотрудников и разграничения доступов пользователей к облачным ресурсам организации; Yandex Vision OCR – сервис компьютерного зрения для распознавания и извлечения текста, анализа и модерации изображений; Yandex Audit Trails – сервис для сбора и выгрузки аудитных логов ресурсов Yandex Cloud.
В результате Yandex Cloud снова подтвердила, что обеспечивает первый уровень защищенности обрабатываемых персональных данных. Аттестат соответствия дает возможность клиентам облачной платформы хранить и обрабатывать все категории персональных данных, а также аттестовывать собственные цифровые продукты.
2020: Соответствие стандарту PCI DSS и уровню УЗ-1
Платформа Yandex.Cloud 18 января 2021 года сообщила о получении подтверждения соответствия международному стандарту безопасности данных платежных карт PCI DSS (Payment Card Industry Data Security Standard) и высшему уровню защищенности персональных данных УЗ-1. Теперь клиенты Yandex.Cloud могут хранить и обрабатывать в облаке данные платежных карт, а также медицинские, специальные и биометрические данные. С такими данными работают компании из сферы здравоохранения, страховые организации и образовательные учреждения.
Соответствие Yandex.Cloud PCI DSS открывает возможность пользователям Yandex.Cloud, которые оказывают финансовые услуги, создавать и использовать в облаке сервисы для обработки данных карт платежных систем: Visa, MasterCard и "Мир". Yandex.Cloud обеспечила соответствие PCI DSS сервисам всех категорий - IaaS, SaaS, PaaS и Severless.Компания МТС стала победителем в категории «Инновация года» премии CNews
Теперь клиенты Yandex.Cloud могут использовать сервисы платформы и не заниматься самостоятельным решением задач по анонимизации и созданию внешних хранилищ для персональных данных, требующих УЗ-1. Аудит соответствия мер защиты и документации платформы Yandex.Cloud УЗ-1 провела компания «Кард Сек».
Российские компании все чаще выбирают облачную платформу для поддержки и развития своих бизнес-систем. Мы даем своим клиентам более высокий уровень защиты, чем тот, которого большинство компаний может достичь в собственной инфраструктуре, при этом без дополнительных затрат денег и времени, - прокомментировал Олег Коверзнев, операционный директор Yandex.Cloud. |
Также по результатам аудита Yandex.Cloud соответствует международным стандартам информационной безопасности: ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019.