Безопасность информации и соответствие требованиям

1.1.   Распределение зон ответственности в области защиты ИТ-инфраструктуры

Безопасность данных Заказчиков имеет для Облака КРОК первостепенное значение, однако безопасность – это результат сотрудничества между нами. В зависимости от объемов услуг, используемых заказчиком, изменяется и распределение зон ответственности за обеспечение защиты ИТ-инфраструктуры между Облаком КРОК и Заказчиком.

Компания может предложить вам следующие виды услуг:

• Co-location – размещение оборудования как услуга,  
• IaaS – Инфраструктура как услуга
• PaaS – Платформа как услуга
• SaaS – Программное обеспечение как услуга

В случае использования собственной инфраструктуры (On-Prem) ответственность за обеспечение безопасности на всех уровнях лежит на Заказчике.

В случае использования Co-location КРОК отвечает за физическую безопасность и отказоустойчивость функционирования размещенного оборудования.

В случае использования IaaS КРОК отвечает за физическую безопасность и отказоустойчивость функционирования самой платформы, защищает сеть, собирает и анализирует события безопасности гипервизоров и других компонентов инфраструктуры. Заказчик самостоятельно выполняет резервное копирование виртуальных машин, обеспечивает защиту виртуальной сети, гостевых операционных систем, контролирует доступ к своим ресурсам.

В случае использования управляемых сервисов (PaaS/SaaS) КРОК дополнительно обеспечивает защиту более высоких слоев инфраструктуры, может выполнять защиту виртуальных машин и осуществлять резервное копирование баз данных.

Разделение зон ответственности за обеспечение безопасности в зависимости от видов услуг:

1.1.   Географическое размещение

Облако КРОК размещено в трех дата-центрах компании, расположенных на территории Москвы по адресам:

• 111024, Российская Федерация, г. Москва, 2-я ул. Энтузиастов, дом 5, корп. 6
• 111033, Российская Федерация, г. Москва, ул. Волочаевская, дом 5, корп. 1
• 111033, Российская Федерация, г. Москва, ул. Волочаевская, дом 5, корп. 2

В каждом из дата-центов выделена инфраструктура Облака КРОК, которая называется зоной доступности. Все зоны доступности изолированы от аппаратных и программных сбоев в других зонах. Если вы разместите ваши приложения сразу в нескольких зонах, вы обеспечите отказоустойчивость своих систем и минимизируете вероятность потери данных.

Вы можете размещать свои ресурсы в следующих зонах доступности:

• ru-msk-comp1p
• ru-msk-vol51
• ru-msk-vol52

С более подробной информацией об особенностях ЦОД Компании вы можете ознакомиться тут:

Надежная инфраструктура, сертифицированная по стандартам Uptime Institute

2.1.   Соответствие законодательству Российской Федерации о персональных данных

Облако КРОК обеспечивает реализацию мер по защите персональных данных (ПДн) согласно 3 и 4 уровням защищенности (УЗ-3 и УЗ-4) в соответствии с требованиями Постановления Правительства Российской Федерации №1119.

При размещении персональных данных в Облаке КРОК клиент имеет возможность поручить КРОК обработку этих данных, в этом случае КРОК гарантирует соблюдение конфиденциальности размещаемых персональных данных и обеспечение безопасности при их обработке, а также защиту в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных» и зонами ответственности между Заказчиком и Компанией.

С более подробной информацией Вы можете ознакомиться тут:

2.2.   Соответствие требованиям международных стандартов в области управления защитой ИТ-инфраструктуры

Система управления защитой ИТ-инфраструктуры Облака КРОК соответствует требованиям международного стандарта ISO/IEC 27001:2013 (СУИБ).

СУИБ, построенная в соответствии с требованиями данного стандарта, гарантирует реализацию надежного подхода к управлению защитой ИТ-инфраструктуры, основанного на риск-ориентированном подходе, управление и защиту информационных активов для того, чтобы они оставались безопасными и надежными.

Соответствие СУИБ Облака КРОК требованиям стандарта ISO/IEC 27001:2013 ежегодно подтверждается сертификационными аудитами международного органа по сертификации BSI.

С сертификатом соответствия СУИБ Облака КРОК требованиям стандарта ISO/IEC 27001:2013 Вы можете ознакомиться тут:

Сертификат соответствия СУИБ Облака КРОК требованиям ISO 27001-2013

Система управления защитой ИТ-инфраструктуры Облака КРОК также соответствует требованиям российского стандарта ГОСТ Р 27001-2006 (СУИБ).

Соответствие СУИБ Облака КРОК требованиям российского стандарта ГОСТ Р 27001-2006 ежегодно подтверждается сертификационными аудитами органа по сертификации систем менеджмента ООО «Тест-С.-Петербург».

С сертификатом соответствия СУИБ Облака КРОК требованиям стандарта ГОСТ Р 27001-2006 Вы можете ознакомиться тут:

Сертификат соответствия СУИБ Облака КРОК требованиям ГОСТ Р 27001-2006

2.3.   Соответствие требованиям стандарта безопасности данных индустрии платёжных карт

Компоненты инфраструктуры Облака КРОК соответствуют требованиям стандарта PCI DSS, который содержит требования к безопасности данных платежных карт, разработанный Советом по стандартам безопасности индустрии платёжных карт (Payment Card Industry Security Standards Council, PCI SSC), который учредили Visa, MasterCard, American Express, JCB и Discover.

Соответствие Облака КРОК требованиям PCI DSS позволяет нашим Заказчикам использовать облачные сервисы для обработки данных платежных карт и подтверждает высокий уровень защиты данных в Облаке КРОК.

Соответствие Облака КРОК требованиям PCI DSS подтверждается ежегодными проверками QSA-аудитора компании Compliance Control.

С сертификатом соответствия Облака КРОК требованиям стандарта PCI DSS v. 3.2.1 Вы можете ознакомиться тут:

Сертификат соответствия требованиям PCI DSS v. 3.2.1

2.4.   Соответствие требованиям стандарта Uptime Institute по классу TIER III

Дата-центр КРОК «Компрессор» в котором размещены элементы инфраструктуры Облака КРОК соответствуют требованиям Tier Certification of Operational Sustainability Uptime Institute (TCOS).

Соответствие требованиям Uptime Institute по классу TIER III обеспечивает эффективное управление и эксплуатацию Дата-центра, высокую квалификацию сотрудников и исключение факторов риска в работе дата-центра.

С сертификатами соответствия Дата-центра КРОК «Компрессор» по классу TIER III Вы можете ознакомиться тут:

• Сертификат соответствия дата-центра КРОК «Компрессор» стандартам Uptime Institute по классу TIER III

• Сертификат соответствия проекта дата-центра КРОК «Компрессор» стандартам Uptime Institute по классу TIER III

• Сертификат соответствия высокой эксплуатационной устойчивости и надежности работы дата-центра КРОК «Компрессор» стандартам Uptime Institute по классу TIER III

КРОК заботится об обеспечении защиты и безопасности ваших данных, размещаемых в Облаке КРОК.

В целях обеспечения высокого уровня функционирования систем защиты информации и процессов управления защитой ИТ-инфраструктуры мы подвергаем наши системы защиты регулярным независимым проверкам.

Механизмы управления и обеспечения безопасности регулярно проверяются:

Также мы на регулярной основе проводим тестирования на проникновения (не менее 1 раза в год  и после внесения критичных изменений) и сканирование уязвимостей (не менее 4 раз в год и после внесения критичных изменений) элементов инфраструктуры Облака КРОК независимыми компаниями.

4.1.    Система менеджмента защиты ИТ-инфраструктуры

В Компании внедрена система управления защитой ИТ-инфраструктуры (СУИБ), распространяющая свое действие на Облако КРОК. СУИБ устанавливает политики и процедуры защиты ИТ-инфраструктуры, которые позволяют минимизировать риски. СУИБ также устанавливает и контролирует процессы безопасной разработки, правила установки обновлений ПО, действия при возникновении событий защиты ИТ-инфраструктуры и инцидентов. Специалисты по защите ИТ-инфраструктуры Облака КРОК отвечают за мониторинг, соблюдение и совершенствование установленных процессов СУИБ.

4.2.    Обучение и повышение осведомленности персонала

Компания КРОК осознает важность постоянного обучения и повышения осведомленности лиц, задействованных в поддержании функционирования Облака КРОК.

В Компании функционируют процессы управления персоналом и обучением, включающие в себя:

• подбор персонала, включающий определение и проверку наличия необходимых компетенций;

• определение потребностей в подготовке персонала;

• обучение для новых сотрудников;

• регулярное обучение и оценку квалификации персонала;

• обмен опытом, менторство и наставничество;

• мотивацию работы персонала Компании.

Повышение осведомленности персонала, задействованного в разработке и поддержании работоспособности Облака КРОК, включает в себя:

• Обязательное ежегодное ознакомление для всех специалистов по установленным в Компании правилам в области защиты ИТ-инфраструктуры, новым уязвимостями и возникающими угрозами;

• Обязательный ежегодный тренинг для всех специалистов по правилам и основам безопасной разработки;

• Постоянный обмен опытом наставниками и экспертами, менторство.

Персонал Компании, задействованный в функционировании Облака КРОК, также проходит регулярное обучение во внешних учебных центрах, принимает участие в конференциях и выездных сессиях.

4.3.    Инвентаризация активов и их использование

В Облаке КРОК функционирует регламентированный процесс инвентаризации активов, включая и учет активов, обрабатывающих данные клиентов. Правила обращения и допустимого использования информации и активов, связанных с обработкой информации регламентированы и регулярно доводятся до сведения заинтересованных сторон. Классификация активов осуществляется в соответствии с требованиями действующего законодательства Российской Федерации. В классификации учитывается ценность информации и негативные последствия в случае ее утраты, несанкционированного изменения или раскрытия.

Информация, обрабатываемая в Облаке КРОК, подлежит защите вне зависимости от вида ее представления, формы накопления и материального носителя. На уровне виртуальных машин там, где это необходимо, в целях классификации и маркировки информации применяются теги.

Компания установила и регламентировала, а также применяет правила вывода из эксплуатации и утилизации носителей информации непригодных для использования. При увольнении сотрудники возвращают все активы Компании, находящиеся в их использовании, а доступы к информационным системам и ИТ-сервисам отзываются автоматически.

4.4.    Удаление данных

4.4.1.Режим блокировки

Режим Блокировки подразумевает частичное ограничение возможностей Заказчика. Условия перехода в данный режим работы описаны в соглашении между сторонами. В данном режиме действуют следующие ограничения:

1. Все виртуальные серверы Заказчика останавливаются.

2. Заказчик не может создавать новые ресурсы в облаке: ВМ, диски, IP-адреса, и т.д.

3. При этом есть возможность создавать подсети или работать с S3.
   
   

4.4.2.Архивный режим

Архивный режим подразумевает полное ограничение возможностей Заказчика с удалением всех используемых Заказчиком услуг. Архивный режим активируется в случае окончании действия соглашения или его досрочного расторжения. В течение 72 часов с момента перевода Заказчика в Архивный режим действует Режим Блокировки затем учетная запись и все ресурсы Заказчика уничтожаются без возможности их восстановления. Мы всегда уведомляем наших Заказчиков по электронной почте о том, что их ресурсы переведены в архивный режим и будут удалены.

Записи о запросах к ресурсам пользователя через API хранятся в течение года для анализа инцидентов защиты ИТ-инфраструктуры и противодействия мошенничеству. По истечении года записи безвозвратно удаляются.

4.5.    Управление доступом

В Компании разработана и внедрена процедура управления и контроля доступа к информационным ресурсам, в том числе и ресурсам Облака КРОК. Эффективно функционирующий процесс управления и контроля доступа гарантирует, что только авторизованный персонал получает доступ к помещениям, зонам безопасности, серверным и сетевым и информационным ресурсам и только в том объеме, который необходим для выполнения их функциональных обязанностей. Все права персоналу предоставляются исходя из принципа наименьших привилегий. Действия по регистрации и отмены регистрации пользователей и их полномочий логируются Компанией. Процедуры идентификации и аутентификации пользователей регламентированы и находятся под контролем.

Права на доступ ко всем помещениям, зонам безопасности, серверным, сетевым и информационным ресурсам согласуются и утверждаются руководством Компании.

Компания осуществляет строгий контроль за использованием привилегированных утилит, которое строго доступно только для уполномоченного персонала и регулярно аудируется.

4.6.    Управление обновлениями и изменениями

Наше Облако КРОК постоянно развивается, чтобы предоставлять ещё более стабильный и качественный продукт нашим Заказчикам. Для этого требуются плановые обновления в Облаке КРОК. Мы информируем наших Заказчиков о предстоящих изменениям минимум за сутки, а также рассказываем об изменениях, произошедших после обновления на наших информационных ресурсах, в том числе в блоге Облака.

Также в Облаке КРОК внедрена политика управления обновлениями, которая регламентирует правила установки обновлений для различных видов программного обеспечения. Специалисты защиты ИТ-инфраструктуры Облака КРОК контролируют, чтобы обновления, выпущенные производителями ПО, закрывающие критические уязвимости, были установлены в кратчайшие сроки.

4.7.    Архитектура и безопасность инфраструктуры Облака КРОК

4.7.1.Архитектура Облака КРОК и политика безопасности

На странице Облако КРОК Вы можете подробно ознакомиться с архитектурой Облака КРОК.

Также мы разработали и внедрили политику защиты ИТ-инфраструктуры для конфигурации виртуальной сети, мы регулярно контролируем, чтобы конфигурация виртуальной сети соответствовала установленной.

На странице Защита ИТ-инфраструктуры вы можете ознакомиться с сервисами защиты ИТ-инфраструктуры.

4.7.2.Разделение и изоляция ресурсов

Инфраструктура обеспечивающая работоспособность Облака КРОК отделена от инфраструктуры Заказчиков. Инфраструктуры Облака КРОК и Заказчиков не используют одинаковые компоненты.

Облако КРОК организовано с использованием принципа изоляции на уровне сети. Вся инфраструктура Облака КРОК обеспечивающая его работоспособность функционирует на физически или логически изолированных сетях. Доступ между компонентами инфраструктуры Облака КРОК контролируется автоматически с помощью динамических и хостовых межсетевых экранов, а также списков управления доступом на маршрутизаторах. Инфраструктура Облака находится в выделенном контуре, и не имеет прямого доступа из вне.

Виртуальные машины Заказчика, расположенные на одном гипервизоре, разделены на логическом и сетевом уровнях. Также Заказчик может использовать Группы размещения, благодаря которым виртуальные машины Заказчика никогда не окажутся на одних и тех же гипервизорах. Заказчик может гибко настраивать доступ внутри своего проекта различным пользователям с помощью сервиса IAM.

4.7.3.Безопасность виртуальных машин

Безопасность виртуальных машин обеспечивается на нескольких уровнях:

1. Управление конфигурациями операционных систем. Изменение конфигурации в Облаке КРОК – это управляемый и регламентированный процесс, включающий как одну из составляющих, обязательную проверку в тестовых средах перед переносом в продуктивную среду. Сами конфигурации операционных систем описаны кодом и хранятся в репозитории.

2. Организация защиты на инфраструктурном уровне. Для доступа к инфраструктуре Облака КРОК используются пограничные (бастион) хосты для обеспечения сегментации сети. На каждом хосте присутствуют сервисы, обеспечивающие логирование действий Администраторов Облака КРОК, которые регулярно анализируются специалистами, отвечающими за защиту ИТ-инфраструктуры в Облаке КРОК.

3. В Облаке КРОК мы используем по умолчанию аутентификацию по SSH-ключам. Этот способ обеспечивает более высокий уровень безопасности и во многих ситуациях удобнее для доступа к экземплярам виртуальных машин. Облако КРОК хранит публичную часть и позволяет пользователям хранить приватную часть ключа на локальном компьютере. Этот способ аутентификации снижает риски, связанные с кражей учетных данных сотрудников с доступом в продуктивную среду.

4. Управление уязвимостями. Все установленные в продуктивном окружении пакеты регулярно проверяются на наличие уязвимостей и обновляются до последних версий. Внешний и внутренний периметры регулярно подвергаются тестированиям на проникновение и сканированию на наличие уязвимостей.

4.7.4.Шифрование и защита данных

Для пользователей Облака КРОК доступны следующие услуги, в которых применяются криптографические методы защиты:

• *ipsec.1: туннельный режим

• *ipsec.legacy: транспортный режим

2. В данный момент стандартным является следующий набор для IPSec:

• Phase I (IKEv1)

• Authentication Method: Pre-Shared Key

• Authentication Algorithm: sha1

• Encryption Algorithm: aes-256-cbc

• Perfect Forward Secrecy: Diffie-Hellman Group 2

• Phase II

• Authentication Algorithm: hmac-sha1-96

• Encryption Algorithm: aes-256-cbc

• Perfect Forward Secrecy: Diffie-Hellman Group 2

3. Также по требованию от заказчика может быть установлено:

• Phase I ( IKEv2 )

• Authentication Method: Pre-Shared Key

• Authentication Algorithm: sha256/512

• Encryption Algorithm: aes-256-cbc

• Perfect Forward Secrecy: Diffie-Hellman Group 14/15/16

• Phase II

• Authentication Algorithm: hmac-sha256-128/ hmac-sha512-256

• Encryption Algorithm: aes-256-cbc

• Perfect Forward Secrecy : Diffie-Hellman Group 14/15/16

4. SSH. В виртуальных машинах, созданных из образов КРОК, доступ в систему осуществляется только по SSH ключу. Ключи, которые можно сгенерировать в облачной консоли обладают следующими параметрами шифрования:

• 2048 SHA256

• также заказчик может самостоятельно импортировать публичную часть ключа и использовать её для аутентификации на виртуальной машине S3 (объектное хранилище). В объектном хранилище Облака КРОК есть возможность использовать индексную страницу с включенным SSL сертификатом.

4.8.    Безопасная разработка

Мы направлены на предоставление современного и безопасного облачного сервиса. Особое внимание мы уделяем в развитии нашего Облака КРОК процессу безопасной разработки (Security Development Lifecycle, SDLC), мы реализовали и постоянно контролируем соблюдение ключевых этапов этого процесса:

Мы проводим регулярное обучение и повышение осведомленности группы специалистов, задействованных в разработке Облака КРОК (включающее в себя тренинги, внешнее обучение, ознакомление с внутренними процедурами по безопасной разработке, информирование о возможных уязвимостях для приложений и ПО и мерах по их минимизации), для группы специалистов, задействованных в разработке Облака КРОК, проводятся регулярные встречи с экспертами направленные на информирование о новых угрозах безопасности и методах противодействия им.

Мы реализуем принципы архитектурного планирования: перед созданием изменений и до их внесения в архитектуру действующего сервиса проводятся совещания со специалистами в области безопасности, на которых рассматриваются возможные угрозы и способы атак на сервис. Выработанные меры по минимизации угроз включаются в требования по реализации.

Мы проводим статический и динамический анализ. Проверяется качество кода, покрытие кода тестами.

Финальный анализ безопасности. Мы обязательно проверяем реализацию требований безопасности перед внедрением изменений на полноту и достаточность. Мы разделили среды разработки, тестирования и промышленной эксплуатации, мы следим за тем, чтобы данные из промышленного контура не реплицировались в другие окружения.

4.9.    Защита от атак на цепочки поставок

Мы внедрили и регулярно контролируем регламентированный процесс управления цепочками поставок. Ответственные сотрудники Облака КРОК на регулярной основе контролируют своевременность и качество реализации поставщиками своих обязательств. Со всеми поставщиками услуг Компания заключает соглашения о неразглашении информации и информирует об установленных требованиях и правилах в области защиты ИТ-инфраструктуры.

4.10.         Раскрытие данных третьей стороне

Облако КРОК не раскрывает информацию Заказчиков третьим лицам. Исключениями могут быть выполнение требований действующего законодательства Российской Федерации или положения заключенного с Вами соглашения.

Облако КРОК во всех возможных случаях предпринимает все возможные меры для перенаправления запроса третьей стороны Заказчику.

4.11.         Резервное копирование информации

Мы обеспечиваем целость данных наших заказчиков на уровне платформы, для этого у нас осуществляется репликация данных дисков, шаблонов, данных в S3.

Также мы предоставляем резервное копирование как управляемый сервис (Backup as a Service, BaaS). Решения, используемые для резервного копирования интегрированы с Облаком КРОК и позволяют эффективно использовать облачное объектное хранилище для хранения важной информации и защиты корпоративных данных от потери. Вы можете использовать своё ПО как в Облаке КРОК, так и локально, а данные хранить в нашем объектном хранилище.

Протестированы и поддерживаются все основные производители и решения: Veritas NetBackup и Backup Exec, Commvault, Veeam, Dell EMC DataDomain, HPE StoreOnce.

Возможности масштабирования позволяют хранить в Облаке КРОК произвольные объемы данных и гибко настраивать систему резервного копирования в зависимости от текущих потребностей. В одном бакете объектного хранилища может храниться до 1 ПБ данных без учёта дедупликации.

Сценарии использования:

1. Резервное копирование облачной инфраструктуры в независимое объектное хранилище;
2. Резервное копирование локальной инфраструктуры в Облако КРОК по выделенному каналу или через публичную сеть;
3. Использование объектного хранилища Облака КРОК для раздельного хранения резервных копий вне офиса в соответствии с правилом 3-2-1.

4.12.         Синхронизация времени

Во всей инфраструктуре, в том числе на применяемых средствах защиты Облака КРОК используется единое время, которое постоянно синхронизируется c вышестоящим сервисом предоставления точного времени.

4.13.         Мониторинг облачных сервисов

В Облаке КРОК мы предоставляем Заказчику возможность воспользоваться мониторингом показателей компонентов инфраструктуры и настроить оповещение при достижении определенного значения этих показателей.

Например, мы можете настроить оповещения, для случаев, когда загрузка процессора определенного экземпляра превышает 80% на протяжении последнего часа.

4.14.         Управление техническими уязвимостями

Компания заботится о безопасности инфраструктуры Облака КРОК, для этого мы внедрили регламентированный процесс управления уязвимостями, состоящий из таких этапов как:

• проведение регулярного сканирования инфраструктуры внутри и извне периметра;

• регулярный мониторинг ресурсов, публикующих последние уязвимости;

• использование стандарта конфигурации устройств, которые вводятся в продуктивную среду.

В случае нахождения уязвимости мы осуществляем ее анализ, формируем сроки по принятия мер для ее устранения и контролируем корректность их реализации.

Также специалисты защиты ИТ-инфраструктуры Облака КРОК осуществляют постоянный мониторинг ресурсов, публикующих последние найденные уязвимости, осуществляют их анализ, и если они касаются инфраструктуры Облака КРОК, то принимаются все меры в кратчайшие сроки закрыть их обновлениями по безопасности или компенсационными мерами.

4.15.         Регистрация событий, и реагирование на инциденты и предоставление информации

В компании разработаны и функционируют процедуры управления событиями и инцидентами защиты ИТ-инфраструктуры, а также уязвимостями. За корректное функционирование процесса управления инцидентами отвечают выделенные специалисты Облака КРОК. В случае необходимости для экспертной поддержки привлекаются сотрудники профильных подразделений для оказания правовой, административной и экспертной помощи. При управлении событиями и инцидентами защиты ИТ-инфраструктуры мы особое внимание уделяем:

• сбору событий из средств мониторинга, сообщений пользователей и других источников;

• выявлению инцидентов с использованием автоматизированных средств, а также знаний и опыта сотрудников Облака КРОК;

• реагированию на инциденты в соответствии с планами реагирования либо с привлечением специалистов к решению нестандартных проблем;

• анализу инцидентов сразу после устранения их последствий;

• принятию необходимых корректирующих действий и улучшений по результатам анализа инцидентов.

В случае возникновения инцидентов защиты ИТ-инфраструктуры, оказывающих влияние на ресурсы Заказчиков, Специалист по безопасности Облака КРОК информирует Вас о событии и\или инциденте, а также предоставляет сведения о возможности отслеживания статуса по произошедшему событию\инциденту. Ситуации, когда Заказчик уведомляется об инцидентах, указаны в соглашениях между сторонами. Если Заказчика необходимо проинформировать об инциденте\событии, уведомление высылается в течение 24 часов в виде электронного письма. Письмо может содержать описание мер, которые Заказчик может предпринять в случае, если он может воспрепятствовать инциденту или снизить его последствия.

Также мы предоставим нашим Заказчикам необходимые цифровые доказательства или другую информацию из среды облачных вычислений на основании мотивированного запроса.