В апреле 2021 года платформа Yandex.Cloud прошла внешний аудит. Теперь клиенты сервиса могут обрабатывать в облаке любые категории персональных данных, включая биометрические и специальные.
Серьезный подход
Обычно для подтверждения соблюдения федерального закона 152-ФЗ «О персональных данных» достаточно заключения о соответствии, полученного в рамках самостоятельной оценки.
Такое заключение компания получила еще в прошлом году в рамках проверки, проведенной компанией OOO «Кард Сек». Заключение подтверждает, что платформа полностью выполняет все требования ФЗ-152, постановления правительства №1119 и Приказа ФСТЭК №21 и обеспечивает первый уровень защищенности обрабатываемых персональных данных (УЗ-1).
Когда стандартной проверки мало
Теперь «Яндекс» прошла еще одну дополнительную добровольную аттестацию для информационных систем персональных данных (ИСПДн). Это решение связано со спецификой работы платформы – национальный оператор данных, а также с пожеланиями пользователей сервиса.
Аттестация ИСПДн требуется, например, для обработки биометрических и специальных данных (сведения о здоровье, вероисповедании, личных взглядах и другие чувствительные данные) или для взаимодействия с государственными информационными системами в сфере здравоохранения.
Для получения такого аттестата компания привлекла организацию с лицензией ФСТЭК – проверку Yandex.Cloud на соответствие требованиям ФСТЭК проводило ООО «Национальный аттестационный центр».
С учетом результатов аттестационных испытаний платформе разрешена обработка персональных данных. Аттестат соответствия выдан на 3 года.
Разница между заключением о соответствии и аттестатом – более строгое регулирование вопросов проведения аудита.
Расширенный аудит проводится по следующим параметрам:
- Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ);
- Управление доступом субъектов доступа к объектам доступа (УПД);
- Ограничение программной среды (ОПС);
- Защита машинных носителей персональных данных (ЗНИ);
- Регистрация событий безопасности (РСБ);
- Антивирусная защита (АВЗ);
- Обнаружение вторжений (СОВ);
- Контроль (анализ) защищенности персональных данных (АНЗ);
- Обеспечение целостности информационной системы и персональных данных (ОЦЛ);
- Обеспечение доступности персональных данных (ОДТ);
- Защита среды виртуализации (ЗСВ);
- Защита технических средств (ЗТС);
- Защита информационной системы, ее средств, систем связи и передачи данных (3ИС);
- Выявление инцидентов и реагирование на них (ИНЦ);
- Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ);
Основной уровень этих проверок – клиентские виртуальные машины и клиентские Docker-контейнеры.
В центрах выполнены все меры для нейтрализации актуальных угроз безопасности ПДн. Результат моделирования угроз показал актуальными угрозы третьего типа и неактуальными угрозы первого и второго типа.
Таким образом, системное и прикладное ПО ЦОД и его инфраструктура не содержат условий и факторов, создающих опасность несанкционированного доступа к персональным данным (в том числе случайного), в результате которого данные могут быть уничтожены, изменены, блокированы, скопированы, предоставлены или распространены.
Источник: cloud.yandex.ru
«Яндекс» подтвердил безопасность облачной платформы на следующих уровнях:
- безопасность дата-центров;
- безопасность инфраструктуры;
- защита на уровне данных;
- соответствие стандартам.