Какие лицензии важны и нужны облачным провайдерам

Вадим Владимирович Петров
Количество просмотров306

Лицензии ФСТЭК и ФСБ для облачного провайдера

Выбирая провайдера для поставки облачных услуг, многие придерживаются принципа: «чем больше сертификатов и лицензий у поставщика, тем лучше и надежнее услуги). Так ли это на самом деле? Не всегда. Большинство разрешений, сертификатов и лицензий требуется при оказании довольно специфических услуг, потребителями которых является узкий круг заказчиков. Для большинства же такие документы бесполезны и играют скорее статусную роль: чем больше документов с солидными аббревиатурами ведомств ФСБ, ФСТЭК и им подобных, тем надёжнее и круче выглядит поставщик.

Итак, какую роль играют лицензии и допуски провайдера и что в действительности подтверждает безопасность и качество услуг при использовании облачных сервисов? Разберемся.

 

Лицензии для облачных провайдеров: базовый список

Минимальный набор допусков и разрешений, которые должны быть в обязательном порядке. Без них компания не вправе оказывать заявленные услуги, т.к. именно данные документы подтверждают соответствие сервисов и оборудования фирмы основным требованиям к технической защите информации и обеспечению безопасного обращения с данными.

 

Лицензия ФСТЭК на ТЗКИ

Лицензия на техническую защиту конфиденциальной информации дает право осуществлять деятельность по обращению с персональными данными клиентов провайдера, а также право устанавливать и настраивать оборудование и программное обеспечение, предназначенное для защиты таких данных. Чтобы предоставить клиентам работать с конфиденциальной информацией в облачных сервисах, такой провайдер закупает сервера, настраивает антивирусное ПО и разворачивает защищенное облако.

 

Аттестат ФСТЭК

В ряде случаев наличие такого аттестата является обязательным этапом перед получением других лицензий. Но если провайдер не работает со специфической информацией типа гостайны, однако добровольно получил аттестат соответствия требованиям безопасности на свои объекты, это говорит о надёжности, высоком уровне защиты облачных систем. Периодическое прохождение аттестации ФСТЭК свидетельствует о том, что провайдер заботится о своей репутации стремится поддерживать высокий уровень безопасности и соответствует последним требованиям по защите информации, установленным на уровне ФСБ и ФСТЭК.

 

Лицензия ФСБ на криптографию (шифрование)

Само название говорит о том, что эта лицензия позволяет провайдерам использовать средства криптографической защиты при предоставлении услуг. Наличие такого документа дает право разрабатывать, производить и распространять средства криптозащиты и шифрования данных, а также предоставлять услуги систем, защищенных с помощью шифровальных средств.

Лицензия на криптографию от ФСБ дает существенное преимущество провайдеру, особенно учитывая, что серьезного клиента можно заполучить только в том случае, если предоставить ему тот же спектр возможностей в облаке, что он имел раньше в виде обычной физической IT-системы.

Например, если кредитная или финансовая организация задумает перенести свою инфраструктуру в облако, будет выбран поставщик, способный предоставить каналы связи, защищенные с помощью шифрования, организовать электронный документооборот с использованием ЭЦП, подключиться к системам межведомственного взаимодействия с использованием защищенных каналов связи и т.д. Все это возможно только при наличии лицензии ФСБ на криптографию и шифрование.

 

Лицензия ФСБ на гостайну

При наличии таких лицензий провайдер имеет право предоставлять свои облачные сервисы для обращения сведений, составляющих государственную тайну. Если поставщик услуг имеет не только обычную лицензию на работу с гостайной, но и лицензию ФСТЭК по защите гостайны, то он вправе разрабатывать и обслуживать защищенные системы и технические каналы связи для передачи секретных сведений.

Компании с лицензией ФСБ на государственную тайну и лицензией ФСТЭК на защиту гостайны (именно в таком сочетании) вправе предоставлять услуги облачных сервисов для представителей силовых ведомств: МВД, Минобороны, ФСО, ФСР и других, имеющих отношение к работе с данными под грифом секретности.

Само наличие таких лицензий может и не иметь значения для рядового пользователя, однако даёт лишний плюс при оценке надёжности и уровня защиты информации у такого провайдера. Как правило, ФСБ и ФСТЭК очень строго оценивают качество услуг и предъявляют высокие требования к оборудованию и средствам защиты информации при выдаче своих лицензий.

 

Аттестат соответствия при работе с ПД

Требования закона при работе с персональными данными пользователей обязывают не только использовать для них защищенные системы и средства обработки, но и организовать систему работы с юридической точки зрения. Иными словами, компания, работающая с обычными и биометрическими ПД, обязана придерживаться определенных правил и нести ответственность, начиная с руководителя и заканчивая сотрудниками, непосредственно работающими с оборудованием или клиентами.

Проверить наличие такой политики и выполнение обязательств со стороны провайдера поможет сертификат соответствия Федеральному закону № 152-ФЗ. Он подтверждает, что дата-центр для обработки ПД находится в РФ, в компании предусмотрены и соблюдаются правила защиты персональных данных в результате утечек с «человеческим фактором», мошеннических схем, халатности и т.д. Сертификат — это доказательство достаточной защищенности работы с ПД и минимального риска возможных инцидентов, связанных с утечкой или разглашением данных.

 

Итоги: какие документы имеют значение?

Как видите, выше мы описали основные документы, которые позволяют вообще вести облачному провайдеру свою деятельность либо дают отдельные возможности типа обработки гостайны. Однако в реальности на сайте или в коммерческом предложении поставщика можно увидеть целые списки лицензий, разрешений и сертификатов с загадочными аббревиатурами.

Всегда важно понимать, что именно важно для вас, и какие документы могут подтвердить соответствие провайдера именно вашим требованиям. Бывает так, что заказчики просто впечатляются количеством разрешительных документов и не вникают, что на самом деле стоит за той или иной бумагой. Следует учитывать, что даже если вы поручили обработку информации в облаке и защиту её провайдеру на основании договора, отвечать за возможные утечки данных и отсутствие необходимых лицензий у провайдера все равно придется вам.

Поэтому рекомендуем заранее уточнить требования и интересоваться теми лицензиями и разрешениями, которые подтверждают соответствие провайдера именно важным для вас параметрам. Стоит убедиться, что лицензии не аннулированы и не просрочены, оборудование и средства защиты и шифрования имеют необходимые сертификаты и находятся в законном пользовании. Только тогда вы можете быть уверены, что заключаете договор с надёжным поставщиком услуг и ваши данные в безопасности.

Мы помогаем оформить лицензию на гостайну в Москве и Санкт-Петербурге, оказываем помощь в подготовке к прохождению проверок и участию в госзакупках. Звоните!

 
Нужна косультация по новости?

Оставить комментарий