Компании «Яндекс» и Информзащита» объявили, что ООО «Кард Сек» совместно с «Национальным аттестационным центром» (НАЦ, входит в ГК «Информзащита») провели добровольную аттестацию информационной системы персональных данных платформы Yandex.Cloud на уровень защищенности УЗ-1. Сотрудники «Кард Сек» выполнили подготовку к аттестации, а непосредственно саму аттестацию провел НАЦ. Платформа расположена на базе трех площадок, находящихся в разных городах, что является необходимым условием катастрофоустойчивости системы.

Полученный аттестат соответствия подтверждает, что платформа Yandex.Cloud обеспечивает первый уровень защищенности обрабатываемых персональных данных. Это позволяет ее клиентам аттестовать собственные системы и дает возможность хранить и обрабатывать все категории персональных данных.

Yandex.Cloud – облачная платформа, где каждый может создавать и совершенствовать свои цифровые сервисы, используя инфраструктуру и технологии Яндекса. Поскольку платформа реализована на ПО собственной разработки «Яндекса», эксперты НАЦ разработали и адаптировали методики испытаний с учетом особенностей архитектуры платформы и того факта, что на момент испытаний система уже находилась в состоянии полноценного коммерческого использования. Проведенные испытания никак не повлияли на работоспособность платформы и прошли незаметно для пользователей и клиентов. В рамках проекта эксперты аттестационного центра «Информзащиты» провели полное обследование ИТ-инфраструктуры сервиса и выработали рекомендации по обеспечению требуемого уровня ИБ. Члены аттестационной комиссии отметили высокий уровень автоматизации процессов, обеспечивающих инвентаризацию и учет активов, что позволило сократить сроки проведения работ.

Одной из особенностей проекта стало то, что в границы аттестации, помимо информационно-телекоммуникационной инфраструктуры ЦОД (IaaS), были дополнительно включены нативные сервисы Yandex.Cloud по различным моделям предоставления услуг, включая PaaS и SaaS, которые также подтвердили соответствие требованиям, предъявляемым к первому уровню защищенности персональных данных. Такой подход позволил избежать дублирования проводимых испытаний, а также расширить потенциальную аудиторию предоставляемых провайдером сервисов.