Как стать автором
Обновить

Что делать компаниям, которые не могут пользоваться классическим IaaS из-за требований к безопасности

Время на прочтение 7 мин
Количество просмотров 2.5K
Всего голосов 35: ↑35 и ↓0 +35
Комментарии 4

Комментарии 4

В этом материале мы расскажем, что такое аттестованный сегмент ЦОД.

Странно, что на сайте выложена только первая страница аттестата соответствия требования ИБ (PDFка называется сертификат - всё ещё путаете понятия? :) Остальные страницы не выкладываете (пусть даже кок-что конфиденциальное затертое) потому, что раскроются главные нюансы?

Так вот, как бы так не оказалось, что на следующих страницах написано, что ИС "Инфраструктура" аттестована на ТУ и может использоваться при защите ИСПДн и т.д. и т.п...

А вот в ТУ написано, что ИС просто должна например мигать лампочками, а все остальное все равно должен обеспечитвать заказчик, который туда что-то размещает. Или, например, написано, что аттестована только инфраструктура (что для защиты ИСПДн заказчика не холодно не жарко).

В общем все как-то у Вас не прозрачно, в аналогичных ЦОД, предоставляющих подобные услуги всё ясно и понятно расписано.

UPD: Нашел Ваш пост по этой же теме более годовой давности. Там в комментариях задавали аналогичные вопросы. Обещалось, что будет все поподробнее, но ничего не поменялось.... Хотя тут наверное не к Вам вопрос, тогда работали и писали статьи другие люди.

Для незарегистрированных пользователей мы не всю информацию делаем публичной. В случае с Аттестатом предоставляем клиентам полную копию Аттестата и выписку из модели угроз безопасности, которая требуется для подготовки собственной модели угроз. В этой статье у нас не было задачи раскрыть внутренние особенности услуги, а скорее показать, в каких случаях ее использование помогает компаниям.

Что касается аналогичных услуг, могли бы привести примеры, где клиентам предоставляются аппаратные средства защиты и bare-metal как услугу? Мы слышим от клиентов, что они выбирают нашу услугу за прозрачность и простое разграничение в вопросах безопасности по сравнению с альтернативными IaaS, в которых как раз имеются особенности: «размытие зон ответственности за безопасность, логический доступ провайдера к гипервизору и прочие».

Заказчику, который мало компетентен в вопросах аттестации и защиты информации как раз всё не прозрачно. И на этом можно хорошо заработать. Я Вас понял.

Что "всё" непрозрачно? Какой момент следует разъяснить?

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.