Национальный аттестационный центр (входит в ГК «Информзащита») совместно с компанией «Кард Сек» провел повторную аттестацию публичной облачной платформы Yandex Cloud на соответствие высшему уровню защищенности персональных данных УЗ-1.
Данный проект оценивается как масштабный - платформа расположена в четырех географически распределенных дата-центрах, что обеспечивает катастрофоустойчивость системы. На этих площадках работают более 29 тысяч клиентов Yandex Cloud, которые размещают на платформе приложения, сервисы, корпоративные и аналитические хранилища данных.
По причине того, что все сервисы Yandex Cloud были разработаны непосредственно самим заказчиком (даже серверные стойки для дата-центров), эксперты НАЦ еще в рамках аттестации в 2021 году создали и адаптировали новые методики испытаний, в которых учли особенности платформы. Тогда же специалисты полностью обследовали ИТ-инфраструктуру Yandex Cloud и выработали рекомендации для обеспечения высшего уровня информационной безопасности, реализованные заказчиком. По итогу система была успешно аттестована.
В 2024 году при новой аттестации Yandex Cloud эксперты НАЦ разработали обновленный технический паспорт платформы (согласно приказу ФСТЭК России от 29 апреля 2021 г. N 77), усовершенствовав порядок основных сведений о системе, что в свою очередь упростило работу с некоторыми документами.
Помимо того, в рамках проекта эксперты НАЦ добавили новые решения: Yandex Cloud Organization – единый сервис для управления составом организации, настройки интеграции с каталогом сотрудников и разграничения доступов пользователей к облачным ресурсам организации; Yandex Vision OCR – сервис компьютерного зрения для распознавания и извлечения текста, анализа и модерации изображений; Yandex Audit Trails – сервис для сбора и выгрузки аудитных логов ресурсов Yandex Cloud.
В результате Yandex Cloud снова подтвердила, что обеспечивает первый уровень защищенности обрабатываемых персональных данных. Аттестат соответствия дает возможность клиентам облачной платформы хранить и обрабатывать все категории персональных данных, а также аттестовывать собственные цифровые продукты.