Как проверить надежность облачного провайдера: смотрим на ISO 27001, PCI DSS 3.2 и Tier
На современном рынке для компаний, предлагающих свои услуги, очень важно не быть голословными. Нужно не просто заявить о достоинствах своей фирмы, а подтвердить все сказанное. Этот вопрос имеет несколько путей решения. Один из них — получение сертификатов, позволяющих документально подтвердить уровень защищенности и качества оказываемых услуг.
С момента своего появления довольно остро с проблемой низкого клиентского доверия столкнулись облачные провайдеры. Вопрос о защищенности личных данных и сейчас заставляет многих отказываться от услуг Cloud-сервисов. Ниже рассмотрены основные сертификаты, подтверждающие надежность облачных провайдеров.
Узнать, у кого из провайдеров IaaS есть ISO 27001 и PCI DSS 3.2
Сертификат ISO 27001
Под ISO 27001 понимают международный стандарт защиты данных. В первую очередь им установлен ряд требований к Системе Менеджмента Информационной Безопасности (СМИБ). Фактически свод правил этого документа является моделью для организации, мониторинга, внедрения и эксплуатации СМИБ.
Разработка стандарта проводилась подкомитетом SC27. При составлении использовались самые передовые мировые практики в сфере безопасности данных. В ходе разработки документа старались реализовать следующие принципы:
- Доступность. Обеспечение пользователям с соответствующими правами своевременный доступ к данным;
- Целостность. Сохранение полноты информации;
- Конфиденциальность. Защита сведений от посторонних лиц.
Главная цель ISO 27001 описывается как выбор подходящих инструментов по управлению информационной безопасностью. Неудивительно, что наличием такого сертификата стараются подкрепить свою ответственность все облачные ресурсы.
Сертификация компании производится в три этапа уполномоченными в соответствии со стандартом ISO 27001 сторонними агентствами. Первым шагом для получения сертификата является подготовка к аудиту. Инспектор изучает ключевые документы СМИБ. Вторая стадия носит практический характер — проверяются внедренные меры безопасности и оценивается их эффективность. Третий пункт проверки — контроль на соответствие заявленным параметрам. Последнее выполняется периодически, для подтверждения сертификата.
Сертификат PCI DSS 3.2
Еще один сертификат, без которого немыслимы никакие коммерческие проекты, работающие с финансовой информацией клиентов, — PCI DSS 3.2. Стандарт, описываемый в нем, разработан для обеспечения максимальной сохранности данных, касающихся платежных карт.
Документ включает в свой состав 12 пунктов, описывающих требования к безопасности банковских данных. Их разработкой занимался совет, учрежденный передовыми международными платежными системами, в числе которых небезызвестные Visa и MasterCard.
Естественно стандарт принят на вооружение практически всеми банками, поэтому, если подразумевается использование, хранение и обработка банковской информации клиента, то без получения сертификата PCI DSS 3.2 не обойтись.
Процесс сертификации может отличаться в зависимости от того, какая именно международная платежная система будет использоваться провайдером. Помимо этого, схемы аудита разнятся и у компаний с разным оборотом карточных операций. Организация, оставляющая заявку на получение PCI DSS 3.2, оценивается, после чего ей присваивают один из 4-х уровней. При этом критерии у тех же MasterCard и Visa отличаются.
Сертификат предусматривает ежегодную проверку на соответствие. Есть два варианта проведения планового аудита:
- Самостоятельный контроль, проведенный по алгоритму контрольного листа;
- Проверка с привлечением внешних специалистов PCI QSA-компании.
Подход к ведению обладателя сертификата PCI DSS 3.2 может основываться как на одном из двух методов, так и на их комбинации. При составлении договора отталкиваются от присвоенного предприятию уровня.
Стандарты Tier
Еще одна группа сертификатов, на которую необходимо обратить внимание любому облачному провайдеру, — это нормативы TIER, присваиваемые организацией UPTIME INSTITUTE. На современном рынке ЦОДов этот стандарт считается наиболее показательным подходом к классификации дата-центров.
Узнать Tier облачных провайдеров IaaS
Для соответствия провайдера указанному сертификату он должен пройти 3 стадии получения Tier:
- Data Center Design Documents;
- Constructed Data Center Facility;
- Data Center Operational Sustainability.
Первый шаг контролирует состояние документации ЦОД. Его обладатели могут гарантировать, что все проектные документы соответствуют международным требованиям. На втором этапе заверяется соответствие аппаратных мощностей дата-центра сертифицированной ранее документации. На завершающей стадии производится мониторинг операционной устойчивости поставщика услуги, в частности на финальном аудите оценивается:
- Возможность беспрерывного обеспечения работоспособности инфраструктуры ЦОД;
- Квалификация сотрудников и их достаточное количество;
- Наличие соответствующего требованиям TIER UPTIME INSTITUTE эксплуатационного плана оборудования дата-центра.
Узнать Tier облачных провайдеров DRaaS
Бывают сертификации TIER I, II, III и IV уровней. Каждый из них выдвигает собственные критерии к ЦОД:
- 1 уровень. Рассчитан на сертификацию дата-центров, предназначенных на решение задач одного офиса. Требует наличия выделенного пространства с организованной системой охлаждения для физических систем, присутствие бесперебойного питания и генератора;
- 2 уровень. В дополнение к первому типу требует наличие резерва мощностей для наиболее важных систем ЦОД;
- 3 уровень. Характеризуется доступностью проведения профилактических и ремонтных работ без отключения клиентов;
- 4 уровень. Предусматривает возможность поддержания мощностей без ущерба для клиентов в случае сбоя отдельных единиц дата-центра.
На сегодняшний день стандарт TIER считается одним из самых востребованных среди провайдеров облачных ресурсов и дата-центров. К примеру, на данный момент сертификатом этого образца обзавелись 14 лидирующих российских ЦОД.