Организация Системы информационной безопасности в К2 Облаке
In this article:
Организация Системы информационной безопасности в К2 Облаке#
Система управления информационной безопасностью#
В АО «К2 Интеграция» (далее — К2) внедрена система управления информационной безопасностью (СУИБ), охватывающая в том числе К2 Облако. СУИБ определяет политики и процедуры ИБ для минимизации потенциальных рисков. СУИБ устанавливает и контролирует процессы безопасной разработки, правила установки обновлений ПО, действия при возникновении событий ИБ и инцидентов. Специалисты ИБ К2 Облака отвечают за мониторинг, соблюдение и совершенствование установленных процессов СУИБ.
СУИБ К2 Облака соответствует актуальным российским и международным стандартам в области информационной безопасности, а также требованиям законодательства Российской Федерации по защите данных и подвергается регулярным независимым проверкам на подтверждение соответствия им.
Зоны доступности#
К2 Облако размещено в трёх территориально-распределённых дата-центрах компании, расположенных на территории Москвы по адресам:
111024, Российская Федерация, г. Москва, 2-я ул. Энтузиастов, д. 5, корп. 6;
111033, Российская Федерация, г. Москва, ул. Волочаевская, д. 5, корп. 1;
111033, Российская Федерация, г. Москва, ул. Волочаевская, д. 5, корп. 2.
В каждом из дата-центров под К2 Облако выделена своя инфраструктура, которая называется зоной доступности. Все зоны доступности изолированы от аппаратных и программных сбоев в других зонах. Размещение приложений сразу в нескольких зонах позволяет повысить отказоустойчивость развёрнутых систем и минимизировать вероятность потери данных.
Вы можете размещать свои ресурсы в следующих зонах доступности:
ru-msk-comp1p;
ru-msk-vol51;
ru-msk-vol52.
Обучение и повышение осведомлённости персонала#
Специалисты, задействованные в поддержании функционирования К2 Облака, регулярно проходят обучение для повышения своей квалификации. Принятые в компании процессы управления персоналом и обучением позволяют контролировать и обеспечивать:
подбор персонала, включая определение и проверку наличия необходимых компетенций;
выявление потребностей в подготовке персонала;
обучение для новых сотрудников;
регулярное обучение и оценку квалификации персонала;
обмен опытом, менторство и наставничество;
мотивирование персонала компании.
Повышение осведомлённости персонала, задействованного в разработке и поддержании работоспособности К2 Облака, достигается путём:
обязательного ознакомления всех специалистов с новыми видами уязвимостей и угроз по установленным в компании правилам в области информационной безопасности;
обязательного ежегодного тренинга для всех специалистов по правилам и основам безопасной разработки;
постоянного обмена опытом с наставниками и экспертами, менторства.
Персонал компании, задействованный в функционировании К2 Облака, также проходит регулярное обучение во внешних учебных центрах, принимает участие в технических конференциях и семинарах.
Инвентаризация активов и их использование#
В К2 Облаке принята регламентированная процедура инвентаризации активов, включая и учёт активов, обрабатывающих данные клиентов. Правила обращения и допустимого использования информации и активов, связанных с обработкой информации, формализованы и регулярно доводятся до сведения заинтересованных сторон.
Классификация активов осуществляется в соответствии с требованиями действующего законодательства Российской Федерации. В классификации учитывается ценность информации и негативные последствия в случае её утраты, несанкционированного изменения или раскрытия.
Информация, обрабатываемая в К2 Облаке, подлежит защите вне зависимости от вида её представления, формы накопления и материального носителя. Для классификации и маркировки облачных ресурсов можно использовать теги.
Непригодные для использования носители информации выводятся из эксплуатации и утилизируются в соответствии с принятым регламентом. При увольнении сотрудники возвращают все активы, находящиеся в их использовании, а доступ к информационным системам и ИТ-сервисам отзывается автоматически.
Защита от атак на цепочки поставок#
Мы внедрили и регулярно контролируем регламентированный процесс управления цепочками поставок. Ответственные сотрудники К2 Облака на регулярной основе проверяют своевременность и качество реализации поставщиками своих обязательств. Со всеми поставщиками услуг заключены соглашения о неразглашении информации, они проинформированы об установленных требованиях и правилах в области информационной безопасности.
Раскрытие данных третьей стороне#
К2 Облако не раскрывает информацию о клиентах третьим лицам. Исключением может быть выполнение требований действующего законодательства Российской Федерации или положения заключённого с заказчиком соглашения.
К2 Облако во всех случаях предпринимает все возможные меры для перенаправления запроса третьей стороны заказчику.