Хмарна інфраструктура GigaCloud пройшла атестацію відповідності комплексної системи захисту інформації (КСЗІ) вимогам нормативних документів про захист інформації.

КСЗІ ― це сукупність організаційних та інженерно-технічних заходів, які спрямовані на забезпечення захисту інформації від розголошення, витоку і несанкціонованого доступу. КСЗІ є глобальною концепцією безпеки і основою для безпеки інфраструктури підприємства в цілому.

GigaCloud — перший український хмарний оператор, який отримав сертифікат ISO/IEC 27001:2013 (міжнародний стандарт з управління інформаційною безпекою) та єдиний, хто має атестат відповідності КСЗІ на обидва свої майданчики — GigaCenter та BeMobile. Тому ми можемо будувати розподілені, повноцінні та відмовостійкі хмарні рішення, рівень безпеки яких відповідає вимогам держави.

Що ми зробили для отримання атестата? І чому ця новина важлива для українського сервісного ринку державних проектів? Розповідаємо.

Що, власне, сталося?

Наші хмарні системи отримали атестат відповідності КСЗІ. Він підтверджує, що заходи, які вживаються для інформаційного захисту нашої інфраструктури, відповідають тому рівню, який вимагає Державна служба спеціального зв'язку та захисту інформації України.

Тепер платформи GigaCloud можуть бути використані державними проектами та проектами з особливими вимогами до інформаційної безпеки – наприклад, системою eHealth і майданчиками Prozzoro.

У самій інфраструктурі GigaCloud не відбулося кардинальних змін – атестат лише підтвердив високий рівень безпеки систем, які від самого початку проектувалися з урахуванням усіх вимог КСЗІ.

Тобто, держава контролює рівень систем захисту інформації?

Так, вимоги до методів захисту інформації затверджено українським законодавством. Порядок введений в дію Наказом №76 Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 24 грудня 2001 року.

Але Наказ регулює заходи захисту інформації тільки в таких організаціях:

• автоматизовані системи, що входять до складу інформаційно-телекомунікаційних систем (мережі передачі даних);
• оператори мереж передачі даних всіх типів, що обробляють, зберігають або передають державні інформаційні ресурси.

Тобто, сертифікація комплексної системи захисту інформації обов'язкова саме для державних підприємств і установ, що обробляють державну інформацію.

Саме завдяки наявності у організації атестата КСЗІ приватні користувачі отримують гарантію, що дані, які мають державне значення (у тому числі персональні дані) не можуть бути модифіковані, знищені або розголошені.

А що потрібно для отримання атестата КСЗІ?

Комплексна система захисту інформації – це цілий набір різнопланових заходів, способів й інструментів для захисту даних на різних рівнях. Вони стосуються і наземної інфраструктури (у випадку GigaCloud – контроль безпеки ЦОДів, де розміщені наші фізичні майданчики), і віртуальної (захист віртуальних ресурсів).

При побудові хмарних систем GigaCloud ми забезпечили:

• інженерний захист (інженерно-технічні засоби: конструкції, що обмежують прохід, охоронно-пожежна сигналізація).
• технічний захист (апаратно-технічні засоби: антивіруси, фаєрволи, маршрутизатори, токени, смарт-карти, технічні засоби протидії і т.д.)
• криптографічний захист (криптографічні протоколи, шифрування, ключі, вироблення і перевірка електронного цифрового підпису, хешування, імітозахист)
• політику інформаційної безпеки (створення і розмежування правил доступу)

Окей, але навіщо створювати так багато захисних бар'єрів? Невже не можна обмежитися одним?

ЗМІ часто говорять про рейдерські захоплення серверів, але спроби викрасти інформацію не обмежуються вилученням обладнання. Один з найяскравіших прикладів за останній рік – епідемія вірусу-шифрувальника Petya, який лише в Україні зупинив роботу більше, ніж 2 тисяч компаній.

Причому еволюціонують не тільки методи, але й суть атак. Дані не просто крадуть – їх спотворюють або зовсім знищують.

Комплексна система захисту потрібна, щоб:

• інформація не потрапляла до рук третіх осіб і зловмисників;
• інформацію неможливо було змінювати або використовувати поза правилами політики безпеки;
• інформацію неможливо було втратити через неполадки обладнання;
• контролювати готовність систем захисту до нейтралізації загроз.

І що, система захисту інформації в GigaCloud на все це здатна?

Так! Технічну експертизу пройшла система захисту інформації усієї нашої хмарної інфраструктури, розташованої на українських майданчиках.

Хмари GigaCloud в Україні розміщені у двох дата-центрах найвищого з рівнів відмовостійкості, необхідних комерційному ЦОД. Це центри обробки даних GigaCenter і BeMobile.

Більш того, атестацію КСЗІ пройшов і наш телеком-партнер GigaTrans, захищені канали зв'язку якого ми використовували для побудови наших хмарних систем.

Це корисно користувачеві?

Робота державних структур у системах, захищених за нормами КСЗІ, – це не лише пряма гарантія виконання закону про захист персональних даних. У випадку розміщення на потужностях GigaCloud – це можливість створити систему, яка буде працювати без зупинок у режимі 24/7.

Ми сертифікували цілий апаратний комплекс: це два ЦОД, з'єднаних зашифрованими каналами зв'язку. Тобто, наші клієнти отримують захищені хмарні ресурси і канали Інтернету з одних рук. З їх допомогою підприємства створюють безпечні відмовостійкі рішення: інфраструктура одного сервісу дублюється на двох майданчиках і за необхідності перемикається з основної робочої станції на резервну.

Для користувачів такий підхід означає, що держдодатки працюватимуть швидко і без збоїв, а їх особисті дані не будуть видалені або втрачені.