Безопасность в облаке

Обеспечиваем высокий уровень безопасности клиентских данных и предоставляем сервисы для защиты информации в облаке

Поддерживаем комплексную безопасность облака на физическом, сетевом, инфраструктурном и организационном уровне

Доступность, целостность и конфиденциальность данных — наши главные ориентиры при обеспечении безопасности в облаке. Для их достижения мы придерживаемся SLA 99,982%, используем современное оборудование и последние версии ПО. Что касается уровней защиты:

Ограничиваем доступ посторонних к физическим серверам

Наше оборудование размещено в охраняемых дата-центрах Tier III. Этот сертификат характеризует отказоустойчивость и надежность инфраструктуры ЦОД. Территория таких предприятий огорожена, там действует контрольно-пропускной режим, дежурит охрана. Физический доступ к «железу» имеет крайне ограниченный круг доверенных лиц. Дополнительный уровень защиты обеспечивает система видеонаблюдения с архивом записей.

Совершенствуем систему управления информационной безопасностью

Мы создали СУИБ с целью непрерывного предоставления облачных сервисов и услуг клиентам и поддерживания прозрачного управления процессами обеспечения кибербезопасности и защиты персональных данных. В системы определены процедуры и процессы, направленные на снижение рисков кибербезопасности и выполнение требований законодательства.

Защищаем периметр облачной инфраструктуры

Используем метод сегментации на уровне облачной платформы встроенными средствами консоли управления и на сетевом уровне средствами SDN. Дополнительную безопасность инфраструктуры обеспечивают системы контроля целостности образов виртуальных машин и гипервизоров, а также инструменты защиты от DDoS-атак. В то же время за сбор и анализ событий, представляющих интерес с точки зрения информационной безопасности, отвечают средства класса SIEM. Они помогают обнаружить нелегитимную деятельность в сети и вовремя принять меры.

Разрабатываем безопасные приложения

Наши инженеры применяют безопасные принципы написания кода, а также инструменты SAST и DAST. Это статические и динамические анализаторы, которые помогают находить уязвимости в программах и решать проблемы аутентификации и конфигурации. Разрабатываемые сервисы в обязательном порядке проходят пентесты. ИБ-специалисты моделируют действия хакеров, ищут уязвимости и демонстрируют гипотетические возможности злоумышленников. Такие «контролируемые взломы» проходят минимум раз в год с привлечением сторонней экспертизы.

Подтверждаем безопасность аттестатами, сертификатами и лицензиями

Наша многоуровневая система защиты информации соответствует требованиям законодательства РФ и реализует лучшие мировые практики кибербезопасности. Это подтверждено имеющимися аттестатами, сертификатами и лицензиями:

Аттестаты

152-ФЗ

Все облачные платформы Cloud.ru соблюдают требования ФЗ №152 «О персональных данных» и обеспечивают безопасность персональных данных в соответствии с приказом ФСТЭК России №21 на первом уровне защищенности (УЗ-1). Это значит, что персональные данные пользователей могут передаваться и храниться в Cloud.ru.

Защита ГИС

Платформа Облако VMware аттестована на соответствие требованиям безопасности информации, предъявляемым к государственным информационным системам (ГИС) при обеспечении первого класса защищенности (К1).

187-ФЗ

Данный закон определяет правила обеспечения безопасности критической информационной инфраструктуры РФ. Платформа Облако VMware аттестована на соответствие требованиям безопасности информации, предъявляемым к третьей категории значимости объектов критической информационной инфраструктуры.

Стандарты ISO

ISO/IEC 27001:2013

Сертификат подтверждает соответствие облака Cloud.ru международным требованиям для создания и поддержания системы менеджмента информационной безопасности (Privacy Information Management System, PIMS).

Смотреть PDF

ISO/IEC 27701:2019

Сертификат подтверждает соответствие облака Cloud.ru международным требованиям и следование рекомендациям по внедрению, применению, поддержке и непрерывному улучшение системы менеджмента информационной безопасности, изложенным в стандарте ISO/IEC 27701:2019. Стандарт является дополнением к ISO/IEC 27001:2013.

ISO/IEC 27017:2015

Сертификат подтверждает соответствие облака Cloud.ru международным требованиям к сервис-провайдерам облачных услуг для обеспечения безопасности облачного окружения и снижения рисков информационной безопасности.

Смотреть PDF

ISO/IEC 27018:2019

Сертификат подтверждает соответствие облака Cloud.ru международным требованиям по определению общепринятых целей/средств контроля и принципов внедрения комплекса мер по обеспечению безопасности персональных данных в соответствии с принципами, изложенными в стандарте ISO/IEC 29100.

Смотреть PDF

Сертификаты и лицензии

PCI DSS 3.2.1

Платформа Облако VMware имеет зоны доступности, которые соответствуют требованиям стандарта безопасности индустрии платежных карт PCI DSS 3.2.1. Это позволяет клиентам использовать платформу для обработки, хранения и передачи данных о держателях платежных карт международных платежных систем «Мир», Visa, MasterCard, JCB, China UnionPay, American Express и других без рисков, которые возникают при обработке и хранении данных.

Лицензии Роскомнадзора, ФСТЭК, ФСБ

Лицензия Роскомнадзора №171948 от 07.02.2019 на оказание услуг связи по предоставлению каналов связи.
Лицензия Роскомнадзора №171946 от 07.02.2019 на услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации.
Лицензия Роскомнадзора №171949 от 07.02.2019 на оказание телематических услуг связи.
Лицензия ЦЛСЗ ФСБ ЛСЗ №0017477 от 11.03.2020 (рег.№177567Н) на разработку, производство, распространение и техническое обслуживание шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств, выполнение работ, оказание услуг в области шифрования информации.
Лицензия ФСТЭК серия КИ 0321 №016150 (рег. №3636 от 11.09.2019) на деятельность по технической защите конфиденциальной информации.
Лицензия ФСТЭК серия КИ 0319 № 016030 (рег.№1953 от 30.06.2020) на деятельность по разработке и производству средств защиты конфиденциальной информации.

Сертификаты дата-центров

ЦОД, в которых размещается инфраструктура Cloud.ru, соответствует следующим стандартам:

ISO/IES 27001:2006
ISO 9001:20011
ISO/IES 20000-1:2013
Uptime Institute Tier III Design
Uptime Institute Tier III Facility
Uptime Institute Tier III Operation
PCI DSS 3.2.1

ГОСТ 57580.1–2017

Регионы PD01, PD11 и PD12 платформы Облако VMware соответствуют требованиям ГОСТ 57580.1–2017 «Защита информации финансовых организаций. Базовый состав организационных и технических мер» — имеют пятый уровень соответствия, R = 0,93.

PDF 1, PDF 2, PDF 3

Разделение ответственности

Зоны ответственности провайдера и клиента меняются в зависимости от модели облачных сервисов и типа облака:

Частное облако

Публичное облако

IaaSPaaSSaaS

Управление рисками ИБ

Построение модели угроз, выбора типа сервиса и необходимых средств защиты информации

Клиент

КлиентКлиентКлиент

Безопасность данных

Управление доступом, шифрование, управление ключами

Клиент

КлиентКлиентСовместно

Безопасность приложений

Управление доступом, сканирование уязвимостей, патчи безопасности, защита от DDoS (L5-L7 OSI), межсетевой экран уровня приложения (WAF)

Клиент

КлиентКлиентСовместно

Безопасность виртуальных машин и сервисов

Управление доступом, защита от malware, мониторинг, управление конфигурациям, патчи безопасности

Клиент

КлиентКлиентПровайдер

Сетевая безопасность*

Защита канала связи, интерфейсов управления облаком, IP от DDoS (L3-L4 OSI), сегментация сетей, шифрование трафика, фильтрация трафика, защита от сетевых атак

Клиент

СовместноСовместно *Провайдер

Безопасность инфраструктуры

Среда виртуализации, сканирование на уязвимости

Совместно

ПровайдерПровайдерПровайдер

Физическая безопасность

Контроль физического доступа к инфраструктуре, резервирование каналов передачи и электроснабжения

Провайдер

ПровайдерПровайдерПровайдер

* Cloud.ru отвечает за доступность консолей управления облаком, включая бекапы и т.д., но не отвечает за доступность IP адресов, выделенных клиентам, с помощью которых они публикуются в сеть интернет (белый IP адрес, API, Web серверы).

Согласно п.3.4 «Соглашения об SLA» стороны соглашаются учитывать периоды недоступности услуг и (или) деградации как предоставление услуг в штатном режиме и не учитывать их при расчете времени недоступности услуг, если:

3.4.6. Недоступность услуг возникла в результате совершения третьими лицами противоправных действий, в том числе в случае проведения DoS/DDoS-атак на вычислительные системы заказчика;

3.4.7. Нарушение доступности услуг возникло из-за DoS/DDoS-атаки на вычислительные системы заказчика при отсутствии подключения заказчиком услуги «Защита от DDoS-атак».