Соответствие законодательным и нормативным требованиям
In this article:
Соответствие законодательным и нормативным требованиям#
Примечание
Для соответствия законодательным требованиям в области информационной безопасности компании могут подключить дополнительные функции в К2 Облаке:
Автоматическая блокировка при неактивности пользователей в течение 45 дней.
Принудительная смена пароля у всех пользователей не реже чем раз в 60 дней.
Для активации функций оставьте заявку на портале поддержки или напишите нам на почту support@k2.cloud.
Соответствие законодательству Российской Федерации о персональных данных#
В К2 Облаке реализованы меры по защите персональных данных (ПДн) согласно первому уровню защищённости (УЗ-1) в соответствии с требованиями Постановления Правительства Российской Федерации №1119 и Приказа ФСТЭК №21.
При размещении персональных данных в К2 Облаке клиент может поручить АО «К2 Интеграция» (далее — К2) обработку этих данных. В этом случае К2 гарантирует соблюдение конфиденциальности размещаемых персональных данных и обеспечение безопасности при их обработке, а также защиту в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных» и разграничением зон ответственности.
Соответствие требованиям стандартов по управлению информационной безопасностью#
Система управления информационной безопасности К2 Облака соответствует требованиям российского стандарта «ГОСТ Р ИСО/МЭК 27001-2021 — Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
СУИБ, построенная в соответствии с требованиями данного стандарта, базируется на риск-ориентированном подходе к управлению информационной безопасностью и гарантирует надёжную защиту информационных активов.
Соответствие СУИБ К2 Облака требованиям стандарта ГОСТ Р ИСО/МЭК 27001-2021 ежегодно подтверждается сертификационным аудитом органа по сертификации систем менеджмента ООО «Тест-С.-Петербург».
Система управления информационной безопасности К2 Облака соответствует требованиям российского стандарта «ГОСТ Р ИСО/МЭК 27017-2021 — Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб».
СУИБ, построенная в соответствии с требованиями данного стандарта, реализует подход к управлению информационной безопасностью для провайдеров облачных сервисов и гарантирует надёжную защиту информационных активов, размещённых в облачных сервисах.
Соответствие СУИБ К2 Облака требованиям стандарта ГОСТ Р ИСО/МЭК 27017-2021 ежегодно подтверждается сертификационным аудитом органа по сертификации систем менеджмента ООО «Тест-С.-Петербург».
Соответствие требованиям стандарта безопасности данных индустрии платёжных карт#
Компоненты инфраструктуры К2 Облака соответствуют требованиям стандарта PCI DSS к безопасности данных платёжных карт. Данный стандарт был разработан Советом по стандартам безопасности индустрии платёжных карт (Payment Card Industry Security Standards Council, PCI SSC), который учредили Visa, MasterCard, American Express, JCB и Discover.
Соответствие К2 Облака требованиям PCI DSS свидетельствует о высоком уровне защиты данных в К2 Облаке и позволяет использовать облачные сервисы для обработки данных платёжных карт.
Соответствие К2 Облака требованиям PCI DSS подтверждается ежегодными проверками QSA-аудитора компании Compliance Control.
Соответствие требованиям стандарта безопасности финансовых операций#
К2 Облако соответствует требованиям российского стандарта ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций» по первому, самому высокому, уровню безопасности УЗ-1. Итоговая оценка 0,92 из 1,0 возможных относится к пятому, наивысшему уровню соответствия облачной платформы требованиям ЦБ.
Соответствие требованиям ГОСТ Р 57580.1-2017 означает, что финансовые организации могут:
размещать в К2 Облаке данные, относимые к категории защищаемой информации, согласно положениям Банка России;
переносить в облако критичные процессы, в том числе связанные с проведением финансовых операций;
развёртывать в облаке контуры безопасности самого высокого уровня защищённости;
обеспечить соответствие всем требованиям российского законодательства и ЦБ РФ.
Соответствие облачной платформы требованиям ГОСТ Р 57580.1-2017 подтверждено проверкой лицензированного аудитора ПК «РАД КОП».
Соответствие ЦОД требованиям стандарта Uptime Institute по классу TIER III#
Дата-центр «Компрессор», где размещена зона доступности ru-msk-comp1p, соответствуют требованиям Uptime Institute к операционной устойчивости по классу TIER III (Tier Certification of Operational Sustainability, TCOS).
Соответствие требованиям подтверждает эффективное управление и эксплуатацию дата-центра, высокую квалификацию сотрудников и исключение факторов риска в работе дата-центра.
Дата-центр «Компрессор» имеет следующие сертификаты:
Сертификат соответствия проекта дата-центра «Компрессор» стандартам Uptime Institute по классу TIER III.
Сертификат соответствия дата-центра «Компрессор» стандартам Uptime Institute по классу TIER III.
Сертификат соответствия высокой эксплуатационной устойчивости и надежности работы дата-центра «Компрессор» стандартам Uptime Institute по классу TIER III.
Независимые проверки информационной безопасности#
К2 принимает все меры для обеспечения защиты и безопасности пользовательских данных, размещаемых в К2 Облаке. Мы регулярно проводим независимые проверки с целью контроля надёжности функционирования систем защиты информации и эффективности процессов управления информационной безопасностью.
Механизмы управления и обеспечения безопасности проверяются со следующей периодичностью:
Критерий проверки |
Проверяющий орган |
Периодичность |
|---|---|---|
ГОСТ Р 27001-2021 |
ООО «Тест-С.-Петербург» |
Ежегодно |
ГОСТ Р 27017-2021 |
ООО «Тест-С.-Петербург» |
Ежегодно |
PCI DSS v. 3.2.1 |
Compliance Control |
Ежегодно |
Tier Certification of Operational Sustainability Uptime Institute (TCOS) |
Uptime Institute |
Не реже одного раза в 3 года |
Законодательство о персональных данных |
Компании-лицензиаты ФСТЭК |
Один раз в 3 года |
Кроме того, независимыми компаниями регулярно проводится тестирование на проникновение (не менее 1 раза в год и после внесения критичных изменений) и сканирование уязвимостей (не менее 4 раз в год и после внесения критичных изменений) элементов инфраструктуры К2 Облака.