Некоторые компании при выборе облачного провайдера смотрят на количество сертификатов и лицензий. Считая, что чем их больше, тем лучше. Но на практике документов, подтверждающих надежность поставщика услуг, немного. Все остальные — это либо бумаги, которые имеют значение только для узкого круга заказчиков, либо макулатура, которую можно купить на черном рынке, чтобы пускать пыль в глаза потенциальным клиентам.
В материале специалисты ITGLOBAL.COM рассказывают, на какие лицензии облачного провайдера стоит действительно обращать внимание перед заключением договора и началом работы.
Лицензия ФСТЭК на техническую защиту конфиденциальной информации
Лицензия на техническую защиту конфиденциальной информации позволяет облачным провайдерам хранить персональные данные клиентов, устанавливать и настраивать физическое оборудование и ПО, необходимое для их защиты. Поставщик услуг с лицензией ФСТЭК может развернуть защищенное облако, поставить сильный антивирус и закупить high-end серверы для клиента.
Лицензия ФСБ РФ на криптографию и шифрование
Работать со средствами криптографической защиты информации могут только облачные провайдеры, у которых есть лицензия ФСБ. Она дает право разрабатывать, производить и распространять криптографические средства и ИТ-системы, защищенные с использованием этих средств.
Например, если банк перенесет инфраструктуру в облако к лицензированному поставщику услуг, то он сможет создать защищенные каналы связи с использованием шифрования, организовать документооборот с применением электронных подписей и подключиться к системам межведомственного электронного взаимодействия.
Лицензия ФСБ на государственную тайну
Облачные провайдеры с лицензией ФСБ на гостайну могут хранить сведения о государственной тайне и разрабатывать средства для их защиты. Эти данные обычно касаются военной, внешнеполитической, экономической или разведывательной области, а их разглашение может нанести ущерб безопасности РФ.
Если у поставщика услуг есть лицензия ФСБ на гостайну, это означает, что облако подходит для размещения инфраструктуры таких серьезных органов власти, как МВД, Аппарат Президента или Минобрнаука. Поэтому бизнес может быть уверен, что конфиденциальная информация о стратегических планах, новых проектах и выручке не утечет к конкурентам.
Аттестат соответствия ФЗ-152
Если лицензия ФСТЭК контролирует защиту персональных данных с технической точки зрения (оборудование и ПО), то аттестат соответствия ФЗ-152 отвечает за юридическую составляющую.
Цель ФЗ-152 — защитить персональные данные от утечек и мошеннических схем киберпреступников. Требования закона должны соблюдать организации, которые собирают, обрабатывают и хранят персональные данные как своих клиентов, так и и сотрудников.
Хранить ПД российских граждан в облаке можно, но только если дата-центр находится на территории России. Поэтому аттестат соответствия ФЗ-152 — это один из основных документов облачного провайдера. Он подтверждает, что данные в облаке надежно защищены, а вероятность инцидентов ИБ сведена к минимуму.
Партнерский статус виртуализации
Когда зарубежные вендоры ушли с российского рынка, пользователи лишились технической поддержки и обновления программного обеспечения. Если бизнес не успел перейти на отечественные решения и остался, например, на виртуализации VMware, то в будущем он может столкнуться с ошибками, инцидентами ИБ и уязвимостями инфраструктуры.
Поэтому важно работать с облачными провайдерами, у которых есть партнерские статусы вендоров и которые готовы поддерживать стабильную работу иностранных продуктов с помощью собственных сертифицированных специалистов.
Сертификация Tier III для дата-центров
Надежность облака зависит не только от самого облачного провайдера, но и от уровня дата-центра, где он размещает свое оборудование. При оценке производительности и отказоустойчивости ЦОД чаще всего ориентируются на систему стандартов Tier Standard от Uptime Institute.
В классификации Tier есть четыре уровня: Tier I, Tier II, Tier III, Tier IV. Чтобы получить один из них, нужно соответствовать ряду требований. Tier III — достаточно высокий уровень дата-центра для использования коммерческими организациями со сложными запросами.
Дата-центр считается надежным, если он получил все три сертификата от Uptime Institute: дизайна, соответствия проекту и операционной устойчивости. Например, у DataSpace, партнерского дата-центра ITGLOBAL.COM, есть все три сертификата Tier III от Uptime Institute. Проверить наличие сертификатов Tier можно на официальном сайте Uptime Institute.
Вывод: не важно сколько лицензий у облачного провайдера, важно какие
Когда перед недобросовестным облачным провайдером маячит многомиллионный контракт, он выкладывает на стол все сертификаты и лицензии. Причем не важно, какую силу они имеют, кем и когда выданы, полезны ли они будут для конкретного клиента, его отрасли, задач и потребностей. Например, PCI-DSS необходим только бизнесу, который хранит данные держателей карты, а вендорские документы о сертификации специалистов нужны единицам.
Часто презентация с кипой бумаг производит сильное впечатление на заказчика, потому что количество поражает, но нет времени и желания вникать в каждый документ. Проблемы начинаются после подписания договора и начала работы, когда данные утекают в сеть или регуляторы приходят с проверкой, а у поставщика услуг нет нужной лицензии. Тогда клиенту приходится платить огромные штрафы и искать замену исполнителю.
Редакция Компьютерры советует бизнесу заранее обсудить со своими юристами и специалистами ИБ, чтобы вместе определить, наличие каких документов станут критерием для выбора облачного провайдера. Это поможет держать фокус на важном, быть устойчивыми к громким словам и заявлениям потенциального партнера и выбрать поставщика услуг, с которым сложится действительно плодотворное и долгосрочное сотрудничество.