В апреле 2021 года платформа Yandex.Cloud прошла внешний аудит. Теперь клиенты сервиса могут обрабатывать в облаке любые категории персональных данных, включая биометрические и специальные.

Серьезный подход

Обычно для подтверждения соблюдения федерального закона 152-ФЗ «О персональных данных» достаточно заключения о соответствии, полученного в рамках самостоятельной оценки.

Такое заключение компания получила еще в прошлом году в рамках проверки, проведенной компанией OOO «Кард Сек». Заключение подтверждает, что платформа полностью выполняет все требования ФЗ-152, постановления правительства №1119 и Приказа ФСТЭК №21 и обеспечивает первый уровень защищенности обрабатываемых персональных данных (УЗ-1).

Когда стандартной проверки мало

Теперь «Яндекс» прошла еще одну дополнительную добровольную аттестацию для информационных систем персональных данных (ИСПДн). Это решение связано со спецификой работы платформы – национальный оператор данных, а также с пожеланиями пользователей сервиса.

Аттестация ИСПДн требуется, например, для обработки биометрических и специальных данных (сведения о здоровье, вероисповедании, личных взглядах и другие чувствительные данные) или для взаимодействия с государственными информационными системами в сфере здравоохранения.

Для получения такого аттестата компания привлекла организацию с лицензией ФСТЭК – проверку Yandex.Cloud на соответствие требованиям ФСТЭК проводило ООО «Национальный аттестационный центр».

С учетом результатов аттестационных испытаний платформе разрешена обработка персональных данных. Аттестат соответствия выдан на 3 года.

Разница между заключением о соответствии и аттестатом – более строгое регулирование вопросов проведения аудита.

Расширенный аудит проводится по следующим параметрам:

• Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ);
• Управление доступом субъектов доступа к объектам доступа (УПД);
• Ограничение программной среды (ОПС);
• Защита машинных носителей персональных данных (ЗНИ);
• Регистрация событий безопасности (РСБ);
• Антивирусная защита (АВЗ);
• Обнаружение вторжений (СОВ);
• Контроль (анализ) защищенности персональных данных (АНЗ);
• Обеспечение целостности информационной системы и персональных данных (ОЦЛ);
• Обеспечение доступности персональных данных (ОДТ);
• Защита среды виртуализации (ЗСВ);
• Защита технических средств (ЗТС);
• Защита информационной системы, ее средств, систем связи и передачи данных (3ИС);
• Выявление инцидентов и реагирование на них (ИНЦ);
• Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ);

Основной уровень этих проверок – клиентские виртуальные машины и клиентские Docker-контейнеры.

В центрах выполнены все меры для нейтрализации актуальных угроз безопасности ПДн. Результат моделирования угроз показал актуальными угрозы третьего типа и неактуальными угрозы первого и второго типа.

Таким образом, системное и прикладное ПО ЦОД и его инфраструктура не содержат условий и факторов, создающих опасность несанкционированного доступа к персональным данным (в том числе случайного), в результате которого данные могут быть уничтожены, изменены, блокированы, скопированы, предоставлены или распространены.

Источник: cloud.yandex.ru

«Яндекс» подтвердил безопасность облачной платформы на следующих уровнях:

• безопасность дата-центров;
• безопасность инфраструктуры;
• защита на уровне данных;
• соответствие стандартам.