Выбирая провайдера для поставки облачных услуг, многие придерживаются принципа: «чем больше сертификатов и лицензий у поставщика, тем лучше и надёжнее услуги». Так ли это на самом деле? Не всегда. Большинство разрешений, сертификатов и лицензий требуется при оказании довольно специфических услуг, потребителями которых является узкий круг заказчиков. Для большинства же такие документы бесполезны и играют скорее статусную роль: чем больше документов с солидными аббревиатурами ведомств ФСБ, ФСТЭК и им подобных, тем надёжнее и круче выглядит поставщик.
Итак, какую роль играют лицензии и допуски провайдера, и что в действительности подтверждает безопасность и качество услуг при использовании облачных сервисов? Разберёмся.
Лицензии для облачных провайдеров: базовый список
Минимальный набор допусков и разрешений, которые должны быть в обязательном порядке. Без них компания не вправе оказывать заявленные услуги, так как именно эти документы подтверждают соответствие сервисов и оборудования фирмы основным требованиям к технической защите информации и обеспечению безопасного обращения с данными.
Лицензия ФСТЭК на ТЗКИ
Лицензия на техническую защиту конфиденциальной информации даёт право осуществлять деятельность по обращению с персональными данными клиентов провайдера, а также право устанавливать и настраивать оборудование и программное обеспечение, предназначенное для защиты таких данных. Чтобы предоставить клиентам работать с конфиденциальной информацией в облачных сервисах, такой провайдер закупает сервера, настраивает антивирусное ПО и разворачивает защищённое облако.
Аттестат ФСТЭК
В ряде случаев наличие такого аттестата является обязательным этапом перед получением других лицензий. Но если провайдер не работает со специфической информацией (типа гостайны), однако добровольно получил аттестат соответствия требованиям безопасности на свои объекты, это говорит о надёжности, высоком уровне защиты облачных систем. Периодическое прохождение аттестации ФСТЭК свидетельствует о том, что провайдер заботится о своей репутации, стремится поддерживать высокий уровень безопасности и соответствует последним требованиям по защите информации, установленным на уровне ФСБ и ФСТЭК.
Лицензия ФСБ на криптографию (шифрование)
Само название говорит о том, что эта лицензия позволяет провайдерам использовать средства криптографической защиты при предоставлении услуг. Наличие такого документа даёт право разрабатывать, производить и распространять средства криптозащиты и шифрования данных, а также предоставлять услуги систем, защищённых с помощью шифровальных средств.
Лицензия на криптографию от ФСБ даёт существенное преимущество провайдеру, особенно учитывая, что серьёзного клиента можно заполучить только в том случае, если предоставить ему тот же спектр возможностей в облаке, что он имел раньше в виде обычной физической IT-системы.
Например, если кредитная или финансовая организация задумает перенести свою инфраструктуру в облако, будет выбран поставщик, способный предоставить каналы связи, защищённые с помощью шифрования, организовать электронный документооборот с использованием ЭЦП, подключиться к системам межведомственного взаимодействия с использованием защищённых каналов связи и т. д. Всё это возможно только при наличии лицензии ФСБ на криптографию и шифрование.
Лицензия ФСБ на гостайну
При наличии таких лицензий провайдер имеет право предоставлять свои облачные сервисы для обращения сведений, составляющих государственную тайну. Если поставщик услуг имеет не только обычную лицензию на работу с гостайной, но и лицензию ФСТЭК по защите гостайны, то он вправе разрабатывать и обслуживать защищённые системы и технические каналы связи для передачи секретных сведений.
Компании с лицензией ФСБ на государственную тайну и лицензией ФСТЭК на защиту гостайны (именно в таком сочетании) вправе предоставлять услуги облачных сервисов для представителей силовых ведомств: МВД, Минобороны, ФСО, ФСР и других, имеющих отношение к работе с данными под грифом секретности.
Само наличие таких лицензий может и не иметь значения для рядового пользователя, однако даёт лишний плюс при оценке надёжности и уровня защиты информации у такого провайдера. Как правило, ФСБ и ФСТЭК очень строго оценивают качество услуг и предъявляют высокие требования к оборудованию и средствам защиты информации при выдаче своих лицензий.
Аттестат соответствия при работе с ПД
Требования закона при работе с персональными данными пользователей обязывают не только использовать для них защищённые системы и средства обработки, но и организовать систему работы с юридической точки зрения. Иными словами, компания, работающая с обычными и биометрическими ПД, обязана придерживаться определённых правил и нести ответственность, начиная с руководителя и заканчивая сотрудниками, непосредственно работающими с оборудованием или клиентами.
Проверить наличие такой политики и выполнение обязательств со стороны провайдера поможет сертификат соответствия Федеральному закону № 152-ФЗ. Он подтверждает, что дата-центр для обработки ПД находится в РФ, в компании предусмотрены и соблюдаются правила защиты персональных данных в результате утечек с «человеческим фактором», мошеннических схем, халатности и т. д. Сертификат — это доказательство достаточной защищённости работы с ПД и минимального риска возможных инцидентов, связанных с утечкой или разглашением данных.
Итоги: какие документы имеют значение?
Как видите, выше мы описали основные документы, которые позволяют вообще вести облачному провайдеру свою деятельность либо дают отдельные возможности типа обработки гостайны. Однако в реальности на сайте или в коммерческом предложении поставщика можно увидеть целые списки лицензий, разрешений и сертификатов с загадочными аббревиатурами.
Всегда важно понимать, что именно важно для вас, и какие документы могут подтвердить соответствие провайдера именно вашим требованиям. Бывает так, что заказчики просто впечатляются количеством разрешительных документов и не вникают, что на самом деле стоит за той или иной бумагой. Следует учитывать, что даже если вы поручили обработку информации в облаке и защиту её провайдеру на основании договора, отвечать за возможные утечки данных и отсутствие необходимых лицензий у провайдера всё равно придется вам.
Именно поэтому рекомендуем заранее уточнить требования и интересоваться теми лицензиями и разрешениями, которые подтверждают соответствие провайдера именно важным для вас параметрам. Стоит убедиться, что лицензии не аннулированы и не просрочены, оборудование и средства защиты и шифрования имеют необходимые сертификаты и находятся в законном пользовании. Только тогда вы можете быть уверены, что заключаете договор с надёжным поставщиком услуг, и ваши данные в безопасности.
Мы помогаем оформить лицензию на гостайну в Москве и Санкт-Петербурге, оказываем помощь в подготовке к прохождению проверок и участию в госзакупках. Звоните!