Облачный провайдер DataLine подтвердил соответствие стандарту ГОСТ Р 57580. 1-2017. Документ содержит требования к обеспечению защиты информации, установленные нормативными актами Банка России.
Проверку на соответствие стандарту прошло облако «Cloud-152» — облачная инфраструктура, аттестованная в соответствии с требованиями Закона № 152-ФЗ для хранения и обработки персональных данных. Теперь кредитные и некредитные финансовые организации могут размещать в «Cloud-152» системы для проведения финансовых операций и хранить данные, содержащие банковскую тайну.
Оценку соответствия требованиям ГОСТ Р 57580. 1-2017 по наивысшему усиленному уровню защиты информации провела компания ООО «КардСек», лицензиат ФСТЭК России. Процесс оценки состоит из проверки восьми процессов защиты информации, по результатам которой определяется один из шести уровней соответствия стандарту (0, 1, 2, 3, 4, 5, 6). DataLine получила заключение с итоговой оценкой аудита — R = 0,90, таким образом, достигнут четвертый уровень соответствия процессов защиты информации требованиям ГОСТ Р 57580.1-2017.
«Облако ”Cloud-152” сертифицировано по PCI DSS, аттестовано по УЗ-2 и ГИС К3, а также имеет сертификат ISO/IEC 27001. Однако для соответствия высоким требованиям ГОСТ Р 57580 мы реализовали ряд дополнительных технических и организационных мер. Например, срок хранения логов с контрольными суммами увеличился до 5 лет, а также качественно изменился порядок расследования инцидентов ИБ и так далее. Благодаря полученному заключению банки, страховые компании, негосударственные пенсионные фонды, брокеры и другие некредитные финансовые организации смогут воспользоваться масштабируемыми облачными ресурсами с соблюдением требований ЦБ РФ», — сказал Василий Степаненко, директор центра киберзащиты DataLine.
С 2021 года требования ГОСТ Р 57580. 1-2017 являются обязательными для финансовых компаний, а положение 757-П от 20.04.2021 сделало стандарт обязательным также для некредитных финансовых организаций.
Ранее DataLine подтвердила соответствие стандарту ISO/IEC 27001:2013, а также дополнила VDI возможностью обработки персональных данных в соответствии с 152-ФЗ.
