НАЦ аттестовал платформу Yandex Cloud на УЗ-1

2024: Повторная аттестация на соответствие защищенности персональных данных УЗ-1

Национальный аттестационный центр (входит в ГК «Информзащита») совместно с компанией «Кард Сек» провел повторную аттестацию публичной облачной платформы Yandex Cloud на соответствие высшему уровню защищенности персональных данных УЗ-1.

Данный проект оценивается как масштабный - платформа расположена в четырех географически распределенных дата-центрах, что обеспечивает катастрофоустойчивость системы. На этих площадках работают более 29 тысяч клиентов Yandex Cloud, которые размещают на платформе приложения, сервисы, корпоративные и аналитические хранилища данных.

По причине того, что все сервисы Yandex Cloud были разработаны непосредственно самим заказчиком (даже серверные стойки для дата-центров), эксперты НАЦ еще в рамках аттестации в 2021 году создали и адаптировали новые методики испытаний, в которых учли особенности платформы. Тогда же специалисты полностью обследовали ИТ-инфраструктуру Yandex Cloud и выработали рекомендации для обеспечения высшего уровня информационной безопасности, реализованные заказчиком. По итогу система была успешно аттестована.

В 2024 году при аттестации Yandex Cloud эксперты НАЦ разработали обновленный технический паспорт платформы (согласно приказу ФСТЭК России от 29 апреля 2021 г. N 77), усовершенствовав порядок основных сведений о системе, что в свою очередь упростило работу с некоторыми документами.

Помимо того, в рамках проекта эксперты НАЦ добавили решения: Yandex Cloud Organization – единый сервис для управления составом организации, настройки интеграции с каталогом сотрудников и разграничения доступов пользователей к облачным ресурсам организации; Yandex Vision OCR – сервис компьютерного зрения для распознавания и извлечения текста, анализа и модерации изображений; Yandex Audit Trails – сервис для сбора и выгрузки аудитных логов ресурсов Yandex Cloud.

В результате Yandex Cloud снова подтвердила, что обеспечивает первый уровень защищенности обрабатываемых персональных данных. Аттестат соответствия дает возможность клиентам облачной платформы хранить и обрабатывать все категории персональных данных, а также аттестовывать собственные цифровые продукты.

2020: Соответствие стандарту PCI DSS и уровню УЗ-1

Платформа Yandex.Cloud 18 января 2021 года сообщила о получении подтверждения соответствия международному стандарту безопасности данных платежных карт PCI DSS (Payment Card Industry Data Security Standard) и высшему уровню защищенности персональных данных УЗ-1. Теперь клиенты Yandex.Cloud могут хранить и обрабатывать в облаке данные платежных карт, а также медицинские, специальные и биометрические данные. С такими данными работают компании из сферы здравоохранения, страховые организации и образовательные учреждения.

Соответствие Yandex.Cloud PCI DSS открывает возможность пользователям Yandex.Cloud, которые оказывают финансовые услуги, создавать и использовать в облаке сервисы для обработки данных карт платежных систем: Visa, MasterCard и "Мир". Yandex.Cloud обеспечила соответствие PCI DSS сервисам всех категорий - IaaS, SaaS, PaaS и Severless.Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое

Теперь клиенты Yandex.Cloud могут использовать сервисы платформы и не заниматься самостоятельным решением задач по анонимизации и созданию внешних хранилищ для персональных данных, требующих УЗ-1. Аудит соответствия мер защиты и документации платформы Yandex.Cloud УЗ-1 провела компания «Кард Сек».

Российские компании все чаще выбирают облачную платформу для поддержки и развития своих бизнес-систем. Мы даем своим клиентам более высокий уровень защиты, чем тот, которого большинство компаний может достичь в собственной инфраструктуре, при этом без дополнительных затрат денег и времени, - прокомментировал Олег Коверзнев, операционный директор Yandex.Cloud.

Также по результатам аудита Yandex.Cloud соответствует международным стандартам информационной безопасности: ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019.