Облачная инфраструктура GigaCloud прошла аттестацию соответствия комплексной системы защиты информации (КСЗИ) требованиям нормативных документов по защите информации.

КСЗИ ― это совокупность организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа. КСЗИ является глобальной концепцией безопасности и основой для безопасности инфраструктуры предприятия в целом.

GigaCloud ― первый украинский облачный оператор, получивший сертификат ISO/IEC 27001:2013 (международный стандарт по управлению информационной безопасностью), и единственный, кто имеет аттестат соответствия КСЗИ на обе свои площадки ― GigaCenter и BeMobile. Поэтому, мы можем строить распределенные, полноценные и отказоустойчивые облачные решения, уровень безопасности которых соответствует требованиям государства.

Что мы сделали для получения аттестата? И почему эта новость так важна для украинского сервисного рынка государственных проектов? Рассказываем.

Что, собственно, произошло?

Наши облачные системы получили аттестат соответствия КСЗИ. Он подтверждает, что меры, которые предпринимаются для информационной защиты нашей инфраструктуры, соответствуют тому уровню, который требует Государственная служба специальной связи и защиты информации Украины.

Теперь платформы GigaCloud могут использоваться под государственные проекты и проекты с особенными требованиями к информационной безопасности – например, cистемы eHealth и площадки Prozzoro.

В самой инфраструктуре GigaCloud не произошло кардинальных изменений – аттестат только подтвердил высокий уровень безопасности систем, которые изначально проектировались с учетом всех требований КСЗИ.

То есть, государство контролирует уровень систем защиты информации?

Да, требования к методам защиты информации утверждены украинским законодательством. Порядок приведен в действие Приказом №76 Департамента специальных телекоммуникационных систем и защиты информации Службы безопасности Украины от 24 декабря 2001 года.

Но Приказ регулирует меры защиты информации только в следующих организациях:

• автоматизированных системах, входящих в состав информационно-телекоммуникационных систем (сети передачи данных);
• операторах сетей передачи данных всех типов, обрабатывающих, хранящих или передающих государственные информационные ресурсы.

То есть, сертификация комплексной системы защиты информации обязательна именно для государственных предприятий и учреждений, обрабатывающих государственную информацию.

Именно благодаря наличию у организации аттестата КСЗИ частные пользователи получают гарантию, что данные имеющие государственное значение (в том числе их персональные данные) не могут быть модифицированы, уничтожены или разглашены.

А что нужно для получения аттестата КСЗИ?

Комплексная система защиты информации – это целый набор разноплановых мер, способов и инструментов для защиты данных на разных уровнях. Они касаются и наземной инфраструктуры (в случае GigaCloud – контроль безопасности ЦОДов, в которых размещаются наши физические площадки), и виртуальной (защита виртуальных ресурсов).

При построении облачных систем GigaCloud мы обеспечили:

• инженерную защиту (инженерно-технические средства: ограничивающие конструкции, охранно-пожарная сигнализация).
• техническую защиту (аппаратно-технические средства: антивирусы, файерволы, маршрутизаторы, токены, смарт-карты, технические средства противодействия и т.п.)
• криптографическую защиту (криптографические протоколы, шифрование, ключи, выработка и проверка электронной цифровой подписи, хэширование, имитозащита)
• политику информационной безопасности (создание и разграничение правил доступа)

Окей, но зачем создавать так много защитных барьеров? Неужели нельзя ограничиться каким-то одним?

СМИ часто говорят о рейдерских захватах серверов, но попытки выкрасть информацию не ограничиваются изъятием оборудования. Один из ярчайших примеров за последний год – эпидемия вируса-шифровальщика Petya, который только в Украине остановил работу больше, чем 2 тысяч компаний.

Причем эволюционируют не только методы, но и суть атак. Данные не просто воруют – их искажают или вовсе уничтожают.

Комплексная система защиты нужна, чтобы:

• информация не попадала в руки третьих лиц и злоумышленников;
• информацию не могли изменять или использовать вне правил политики безопасности;
• информацию невозможно было потерять из-за неполадок оборудования;
• контролировать готовность систем защиты нейтрализовать угрозы.

И что, система защиты информации в GigaCloud все это может?

Да! Техническую экспертизу прошла система защиты информации всей нашей облачной инфраструктуры, расположенной на украинских площадках.
Облака GigaCloud в Украине размещены в двух дата-центрах наивысшего из уровней отказоустойчивости, необходимых коммерческому ЦОД. Это центры обработки данных GigaCenter и BeMobile.

Более того, аттестацию КСЗИ прошел и наш телеком-партнер GigaTrans, защищенные каналы связи которого мы использовали для построения наших облачных систем.

Это полезно пользователю?

Работа государственных структур в системах, защищенных по нормам КСЗИ, – это не только прямая гарантия выполнения закона о защите персональных данных. В случае размещения на мощностях GigaCloud – это возможность создать систему, которая будет работать без остановки в режиме 24/7.

Мы сертифицировали целый аппаратный комплекс: это два ЦОД, соединенных зашифрованными каналами связи. То есть, наши клиенты получают защищенные облачные ресурсы и каналы Интернета из одних рук. С их помощью предприятия создают безопасные отказоустойчивые решения: инфраструктура одного сервиса дублируется на двух площадках и при необходимости переключается с основной рабочей станции на резервную.

Для пользователей такой подход означает, что госприложения будут работать быстро и без сбоев, а их личные данные не будут удалены или потеряны.