Аттестация платформы Yandex Cloud на уровень защищенности УЗ-1
Национальный аттестационный центр (входит в ГК «Информзащита») объявил, что совместно с компанией «Кард Сек» провел повторную аттестацию публичной облачной платформы Yandex Cloud на соответствие высшему уровню защищенности персональных данных УЗ-1.
Облачная платформа расположена в четырех географически распределенных дата-центрах, что обеспечивает катастрофоустойчивость системы. На этих площадках работают более 29 тыс. клиентов Yandex Cloud, которые размещают на платформе приложения, сервисы, корпоративные и аналитические хранилища данных.
Поскольку все сервисы Yandex Cloud были разработаны непосредственно самим заказчиком (в том числе и серверные стойки для дата-центров), эксперты НАЦ еще в рамках аттестации в 2021 г. создали и адаптировали новые методики испытаний, в которых были учтены особенности платформы. Тогда же, отмечают в НАЦ, специалисты обследовали ИТ-инфраструктуру Yandex Cloud и выработали рекомендации для обеспечения высшего уровня информационной безопасности, реализованные компанией. По итогу система была успешно аттестована.
В 2024 г. при новой аттестации Yandex Cloud эксперты НАЦ разработали обновленный технический паспорт платформы (согласно приказу ФСТЭК России от 29 апреля 2021 г. №77), усовершенствовав порядок основных сведений о системе, что, в свою очеред,ь упростило работу с некоторыми документами.
Помимо этого, в рамках проекта эксперты НАЦ добавили новые решения: Yandex Cloud Organization – единый сервис для управления составом организации, настройки интеграции с каталогом сотрудников и разграничения доступов пользователей к облачным ресурсам организации; Yandex Vision OCR – сервис компьютерного зрения для распознавания и извлечения текста, анализа и модерации изображений; Yandex Audit Trails – сервис для сбора и выгрузки аудитных логов ресурсов Yandex Cloud.
В результате платформа Yandex Cloud снова подтвердила, что обеспечивает первый уровень защищенности обрабатываемых персональных данных. Аттестат соответствия дает возможность клиентам облачной платформы хранить и обрабатывать все категории персональных данных, а также аттестовывать собственные цифровые продукты.