По лучшим практикам
Опасения, связанные с сохранностью данных, являются одним из главных препятствий перехода к использованию облачных сервисов для российских компаний. Во многом это связано с тем, что целевой аудиторией облачных сервисов изначально были конечные пользователи, затем микро- и малый бизнес, и только потом их начали адаптировать для нужд B2B- и B2G-сегментов. В итоге развитие облаков шло наперекор общей логике всего развития ИТ. Данное обстоятельство также не способствовало доверию к облакам. В итоге, как показало исследование, проведенное SAP, три четверти российских компаний не готовы передавать контроль над своими данными и ПО третьим лицам. А ситуация с громкими утечками данных усугубляет имеющиеся проблемы еще больше.
Многие потенциальные заказчики сетуют также на то, что у поставщиков невозможно получить внятные ответы на многие вопросы, в том числе связанные с защитой данных, включая такие, обработка которых подпадает под действие разного рода нормативных документов вроде российского закона 152-ФЗ "О персональных данных" или европейского регламента GDPR. Подтверждением того, что поставщик облачных услуг в состоянии обеспечить защиту своей инфраструктуры от посягательств извне и изнутри является сертификация на соответствие общепринятым стандартам.
Директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов так оценивает значимость мер, которые проходит компания в рамках сертификации по данным стандартам и в ходе ресертификационных аудитов, которые необходимо регулярно повторять: "Стандарты ISO/IEC 27017:2015 и ISO/IEC27018:2019 описывают лучшие практики обеспечения безопасности информации, обрабатываемой облачными сервисами. В первую очередь - обеспечение безопасности персональных данных. Для российских компаний эти стандарты имеют рекомендательный характер, но соответствовать их требованиям необходимо всем облачным сервисам, подпадающим под действие европейского Общего регламента защиты персональных данных (GDPR). Невыполнение требований этих стандартов компаниями, обрабатывающими персональные данные физических лиц, находящихся на территории ЕС, может обернуться штрафом в размере до 20 млн евро или до 4% ежегодного мирового оборота организации. Для российских пользователей наличие у компании таких сертификатов говорит о том, что организация прикладывает значительные усилия для обеспечения безопасности информации. И хотя само по себе соответствие требованиям не гарантирует абсолютную защиту, успешная сертификация является серьезным конкурентным преимуществом, подтверждая стремление компании защищать обрабатываемые данные".
"Яндекс.Облако" стало первой в России и СНГ публичной облачной платформой, выстроившей управление информационной безопасностью по стандарту ISO/IEC 27017:2015 и обеспечившей защиту персональных данных пользователей по международному стандарту ISO/IEC 27018:2019. Соответствие платформы требованиям международных нормативных документов подтверждено независимым аудитором - Британским институтом стандартов (BSI). При подготовке к прохождению аудита консультации и помощь оказывала компания "Информзащита".
Сертификация "Яндекс.Облака" стала ответом на прямые запросы крупных международных и российских компаний, для которых это необходимое условие сотрудничества. Кроме того, требования данных стандартов соответствуют большинству критериев, по которым в бизнесе оценивается уровень безопасности и защищенности. Как отмечают в "Яндексе", платформа "Яндекс.Облако" и раньше соответствовала требованиям GDPR. Это важно как для международных компаний, работающих в России, так и для российских, планирующих работать за рубежом или обслуживающих граждан стран ЕС, живущих и работающих в их регионах присутствия.
"Наша цель - обеспечить уровень безопасности операций с данными в "Яндекс.Облаке" на значительно более высоком уровне, чем средний уровень безопасности собственной инфраструктуры крупных компаний. Только так облако может соответствовать ожиданиям клиентов, которые доверяют нам данные и процессы своего бизнеса", - прокомментировал итоги работ по данному проекту директор по развитию бизнеса "Яндекс.Облака" Олег Коверзнев.
"Команда "Яндекс.Облака" выбрала довольно новые стандарты ISO/IEC 27017 и ISO/IEC 27018, которые содержат расширенные наборы лучших практик в области защиты информации, специфичные для облачных сервис-провайдеров и для обработки персональных данных. Успех проекта по обеспечению соответствия, достигнутый в довольно сжатые сроки, был обусловлен большим вниманием к информационной безопасности, высоким уровнем автоматизации процессов и высочайшим профессионализмом всей команды "Яндекс.Облака". Я рад, что именно компания "Информзащита" выбрана в качестве консультанта при приведении в соответствие, и горжусь результатами нашей работы", - оценил результаты работы технический директор АО НИП "Информзащита" Вячеслав Максимов.
"Меры, принятые компанией "Яндекс.Облако" для защиты конфиденциальности данных своих клиентов, в том числе от сотрудников компании, а также для обеспечения надежности и непрерывности работы систем и сервисов, удовлетворяют самым строгим требованиям стандартов информационной безопасности. Технические решения, реализованные в основе услуги "Яндекс.Облако", отличаются зрелостью и основательностью, несмотря на сравнительную молодость платформы", - так оценил итоги проекта аудитор BSI Валерий Блонский.