Сертификаты, аттестаты и лицензии

Облако Cloud включает многоуровневую систему защиты информации, соответствующую требованиям законодательства РФ и реализующую лучшие мировые практики кибербезопасности, что подтверждено имеющимися аттестатами и сертификатами соответствия разнообразным требованиям:

• 152-ФЗ (защита персональных данных).

• Защита государственных информационных систем

• 187-ФЗ (безопасность критической инфраструктуры)

• ISO

• Сертификаты ЦОДов размещения

• Лицензии

152-ФЗ (защита персональных данных)

Соответствие Федеральному закону «О персональных данных» определяется наличием сертификатов соответствия 152-ФЗ. Такие сертификаты выдают контролирующие органы и подтверждают, что инфраструктура Cloud построена в соответствии с требованиями.

Все платформы Cloud имеют уровень защиты 152-ФЗ УЗ-1:

• Advanced

• Enterprise, включая:

  • Виртуальный ЦОД по модели IaaS

  • Резервное копирование

  • Резервный ЦОД (DRaaS)

  • Объектное хранилище S3

• ML Space

Внимание

Персональные данные пользователей могут передаваться и храниться в Cloud. Данный вопрос регулируется наличием аттестата соответствия 152-ФЗ. При этом Cloud не является оператором персональных данных. Ответственность за настройку доступов и сохранность данных пользователей лежит на клиенте Cloud.

Защита государственных информационных систем

Облачная платформа Cloud, предназначенная для размещения государственных информационных систем, аттестована на соответствие требованиям безопасности информации, предъявляемым к государственным информационным системам (ГИС) при обеспечении первого класса защищенности (К1).

187-ФЗ (безопасность критической инфраструктуры)

Федеральный закон 187-ФЗ определяет правила обеспечения безопасности критической информационной инфраструктуры Российской Федерации.

Платформа Cloud Enterprise аттестована на соответствие требованиям безопасности информации, предъявляемым к третьей категории значимости объектов критической информационной инфраструктуры. К платформе относятся в том числе:

• Виртуальный ЦОД по модели IaaS

• Резервное копирование ВМ

• Резервный ЦОД (DRaaS)

• Объектное хранилище S3

ISO

В Cloud реализованы требования следующих стандартов Международной организации по стандартизации (ISO):

• ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements.

  Сертификат подтверждает соответствие облака Cloud международным требованиям для создания и поддержания системы менеджмента информационной безопасности (Privacy Information Management System, PIMS).

  Ознакомиться со стандартом ISO/IEC 27001:2013.

• ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines.

  Сертификат подтверждает соответствие облака Cloud международным требованиям и следование рекомендациям по внедрению, применению, поддержке и непрерывному улучшение системы менеджмента информационной безопасности, изложенным в стандарте ISO/IEC 27701:2019. Стандарт является дополнением к ISO/IEC 27001:2013.

  Ознакомиться со стандартом ISO/IEC 27701:2019.

• ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services.

  Сертификат подтверждает соответствие облака Cloud международным требованиям к сервис-провайдерам облачных услуг для обеспечения безопасности облачного окружения и снижения рисков информационной безопасности.

  Ознакомиться со стандартом ISO/IEC 27017:2015.

• ISO/IEC 27018:2019 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors.

  Сертификат подтверждает соответствие облака Cloud международным требованиям по определению общепринятых целей/средств контроля и принципов внедрения комплекса мер по обеспечению безопасности персональных данных в соответствии с принципами, изложенными в стандарте ISO/IEC 29100.

  Ознакомиться со стандартом ISO/IEC 27018:2019.

PCI DSS

PCI DSS (Payment Card Industry Data Security Standard, Стандарт безопасности индустрии платежных карт) определяет требования по обеспечению безопасности данных владельцев платежных карт.

Платформы Enterprise и Advanced имеют зоны доступности, которые соответствуют требованиям PCI DSS 3.2.1. Это позволяет клиентам использовать платформы для обработки, хранения и передачи данных о держателях платежных карт международных платежных систем «Мир», Visa, MasterCard, JCB, China UnionPay, American Express и другими. Сертификация по PCI DSS направлена на защиту держателей платежных карт от рисков (включая потерю денежных средств), которые возникают при обработке и хранении данных.

Сертификаты ЦОДов размещения

ЦОД, в которых размещается инфраструктура Cloud, соответствует следующим стандартам:

• ISO/IES 27001:2006

• ISO 9001:20011

• ISO/IES 20000-1:2013

• Uptime Institute Tier III Design

• Uptime Institute Tier III Facility

• Uptime Institute Tier III Operation

• PCI DSS 3.2.1

Лицензии

Cloud имеет выданные соответствующими регуляторами лицензии на оказание услуг связи и на работу с различными средствами защиты конфиденциальной информации:

• Лицензия Роскомнадзора №171948 от 07.02.2019 на оказание услуг связи по предоставлению каналов связи

• Лицензия Роскомнадзора №171946 от 07.02.2019 на услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации

• Лицензия Роскомнадзора №171949 от 07.02.2019 на оказание телематических услуг связи

• Лицензия ЦЛСЗ ФСБ ЛСЗ №0017477 от 11.03.2020 (рег.№177567Н) на разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя

• Лицензия ФСТЭК серия КИ 0321 №016150 (рег. №3636 от 11.09.2019) на деятельность по технической защите конфиденциальной информации

• Лицензия ФСТЭК серия КИ 0319 № 016030 (рег.№1953 от 30.06.2020) на деятельность по разработке и производству средств защиты конфиденциальной информации»

Проведение аттестаций и сертификаций клиентами

Соответствие облачных платформ Cloud нормативных актам и наличие сертификатов не снимает с клиента обязательства по проведению аттестаций и сертификаций в отношении собственной инфраструктуры, построенной поверх инфраструктуры облачных платформ Cloud, в случаях, когда это необходимо.