Безопасность Yandex.Cloud

Грамотный подход к разработке и проектированию архитектуры, соответствие индустриальным стандартам и законодательным требованиям, безопасность физической инфраструктуры и защита данных.

Мы заботимся о безопасности на этапах создания и эксплуатации Yandex.Cloud

Безопасная разработка

Процесс безопасной разработки (Security Development Lifecycle, SDL) помогает нам идентифицировать риски и управлять ими с момента проектирования сервисов платформы и на протяжении всего срока эксплуатации. Внедрение SDL позволяет снизить количество и серьезность ошибок, приводящих к эксплуатируемым уязвимостям.

Многоуровневая защита

Безопасность Yandex.Cloud организована таким образом, что одной угрозе противостоит набор средств защиты на разных уровнях. Такой подход удорожает любую потенциальную атаку и позволяет оперативно выявлять и предотвращать несанкционированную деятельность злоумышленников.

Yandex.Cloud соответствует требованиям ФЗ 152 и индустриальных стандартов

152-ФЗ

Платформа Yandex.Cloud имеет аттестат соответствия ИСПДн требованиям безопасности информации и персональных данных. Аттестат подтверждает, что платформа полностью выполняет все требования ФЗ-152, постановления правительства № 1119 и Приказа ФСТЭК № 21 и обеспечивает первый уровень защищенности обрабатываемых персональных данных (УЗ-1).

GDPR

Общий регламент о защите данных (General Data Protection Regulation, GDPR) регулирует сбор и обработку персональных данных (ПД) физических лиц, находящихся в Европейской экономической зоне. Он призван усилить защиту ПД и сделать прозрачными их сбор, хранение и обработку.

Стандарты ISO

Мы заботимся о том, чтобы обеспечить безопасность систем и данных, которые наши клиенты размещают на платформе Yandex.Cloud. Поэтому мы построили систему управления информационной безопасностью (СУИБ) в соответствии с высокими требованиями стандартов международной организации по стандартизации (ISO). Аудит СУИБ Yandex.Cloud проводила международная команда аудиторов компании BSI. По результатам аудита мы получили сертификаты соответствия стандартам ISO 27001, ISO 27017 и ISO 27018.

ISO 27001
ISO 27017
ISO 27018

Стандарт определяет требования к системе управления информационной безопасностью, ее внедрению, поддержанию и непрерывному улучшению. Следование рекомендациям ISO 27001 помогает организациям обеспечить высокий уровень защищенности основных информационных активов.

Стандарт определяет требования к системе управления информационной безопасностью, ее внедрению, поддержанию и непрерывному улучшению. Следование рекомендациям ISO 27001 помогает организациям обеспечить высокий уровень защищенности основных информационных активов.

Стандарт включает набор практических рекомендаций по обеспечению информационной безопасности для облачных провайдеров. Эти рекомендации дополняют требования по реализации системы управления информационной безопасностью, изложенные в стандарте ISO 27001, специально для провайдеров облачных сервисов.

Стандарт рассматривает вопросы защиты персональных данных при их обработке провайдерами облачных сервисов. В стандарте изложены практические рекомендации по обеспечению информационной безопасности для защиты доверенной облачному провайдеру личной информации клиентов. Эти рекомендации дополняют требования базового стандарта — ISO 27001.

PCI DSS

PCI DSS содержит набор требований для защиты данных держателей карт. Требования обязательны и распространяются на все компании, обрабатывающие данные платёжных систем Visa, MasterCard, American Express, JCB, МИР и др.

ГОСТ Р 57580.1‑2017

ГОСТ Р 57580 — это национальный стандарт безопасности банковских и финансовых операций. Стандарт был введен в действие 1 января 2018 года и стал обязательным для всех кредитных и некредитных финансовых организаций.

Соответствие сервисов облачной платформы требованиям данного стандарта помогает организациям, размещающим в облаке свои системы и приложения, выполнить требования Центрального Банка и обеспечить соответствие стандарту на стороне своих систем, работающих в облаке.

Cloud Security Alliance

Платформа Yandex.Cloud является корпоративным членом Cloud Security Alliance — международной организации, целью которой является разработка и повышение осведомленности о лучших практиках информационной безопасности для облачных сервисов.

Yandex.Cloud выполняет требования программы Security, Trust, Assurance and Risk (STAR) по уровню Level 1: Self-Assessment.

Реестр программного обеспечения

Платформа Yandex.Cloud включена в реестр программного обеспечения, созданный в соответствии со статьей 12.1 Федерального закона «Об информации, информационных технологиях и о защите информации», по основному классу 02.05 «Средства обеспечения облачных и распределенных вычислений, средства виртуализации и системы хранения данных» и дополнительным классам 02.09 «Системы управления базами данных», 04.07 «Лингвистическое программное обеспечение», 04.13 «Системы сбора, хранения, обработки, анализа, моделирования и визуализации массивов данных».

Мы обеспечиваем безопасность облачной инфраструктуры с разных сторон

Физическая безопасность

Все зоны доступности Yandex.Cloud имеют сертификат соответствия требованиям PCI DSS.

Аппаратные ресурсы Yandex.Cloud располагаются в собственных дата-центрах на территории Российской Федерации, связанных собственными каналами связи.

На объектах ведётся постоянное видео наблюдение.

Доступ на территорию дата-центров строго регламентирован и требует заранее согласованной заявки для гостей и сотрудников Yandex.Cloud, которые не работают в дата-центрах на постоянной основе.

Дополнительные меры защиты применятся в части хранения, уничтожения и доступа к носителям данных.

Мониторинг

Операционный центр безопасности (Security Operations Center, (SOC) Яндекса обеспечивает круглосуточный мониторинг облачной платформы. Логи, собираемые с различных компонентов инфраструктуры, передаются в SIEM-систему. Туда же передаются срабатывания различных средств защиты, контролирующих безопасность операционных систем физических серверов, баз данных, сети и других инфраструктурных сервисов платформы. Автоматическая корреляция событий вместе с действиями аналитиков SOC позволяют на ранних этапах идентифицировать нарушение безопасности и своевременно принять меры.

Защита данных

Владельцем данных, размещенных в облаке, всегда является пользователь облачной платформы. Yandex.Cloud не использует данные клиентов, размещенные на ресурсах платформы, иным образом, кроме как для выполнения целей договора и уведомляет клиента о всех инцидентах, затрагивающих пользовательские данные клиента, за исключением случаев, когда обратное установлено применимым законодательством или договором.

Шифрование данных

Все сервисы облака хранят пользовательские данные в зашифрованном виде.

Yandex Object Storage шифрует свои данные отдельным от остальных сервисов набором ключей непосредственно перед записью данных на физический диск.

Сервисы управляемых СУБД шифруют все создаваемые резервные копии перед отправкой в постоянное хранилище. Для шифрования используется отдельная для каждого пользователя пара ключей ассиметричного шифрования.

Защита данных при передаче по каналам интернет обеспечивается протоколом TLS.

Удаление данных

При удалении данных используется надежный способ очистки, гарантирующий невозможность их восстановления. Условия и сроки безвозвратного удаления данных прописаны в Договоре.

Разделение ответственности за обеспечение безопасности

Безопасность систем, использующих облачные сервисы, требует разделения ответственности между клиентом — владельцем конечной системы и провайдером — владельцем облачной инфраструктуры, используемой конечной системой. В зависимости от модели облачных сервисов, используемой клиентской системой (IaaS, PaaS), данное разделение меняется.

Процессы
Собственная инфраструктура
IaaS
PaaS
Управление доступом к данным
Безопасность ОС и приложений
Сетевая безопасность (Overlay)
Резервирование
Шифрование
Логи аудита
Безопасность хранилища данных и оборудования
Сетевая безопасность (Underlay)
Физическая безопасность и катастрофоустойчивость (DR)
Клиент
Yandex.Cloud

Разверните свою инфраструктуру на безопасной платформе

Нужна помощь с миграцией или остались вопросы — напишите нам