Комментарии 4
В этом материале мы расскажем, что такое аттестованный сегмент ЦОД.
Странно, что на сайте выложена только первая страница аттестата соответствия требования ИБ (PDFка называется сертификат - всё ещё путаете понятия? :) Остальные страницы не выкладываете (пусть даже кок-что конфиденциальное затертое) потому, что раскроются главные нюансы?
Так вот, как бы так не оказалось, что на следующих страницах написано, что ИС "Инфраструктура" аттестована на ТУ и может использоваться при защите ИСПДн и т.д. и т.п...
А вот в ТУ написано, что ИС просто должна например мигать лампочками, а все остальное все равно должен обеспечитвать заказчик, который туда что-то размещает. Или, например, написано, что аттестована только инфраструктура (что для защиты ИСПДн заказчика не холодно не жарко).
В общем все как-то у Вас не прозрачно, в аналогичных ЦОД, предоставляющих подобные услуги всё ясно и понятно расписано.
UPD: Нашел Ваш пост по этой же теме более годовой давности. Там в комментариях задавали аналогичные вопросы. Обещалось, что будет все поподробнее, но ничего не поменялось.... Хотя тут наверное не к Вам вопрос, тогда работали и писали статьи другие люди.
Для незарегистрированных пользователей мы не всю информацию делаем публичной. В случае с Аттестатом предоставляем клиентам полную копию Аттестата и выписку из модели угроз безопасности, которая требуется для подготовки собственной модели угроз. В этой статье у нас не было задачи раскрыть внутренние особенности услуги, а скорее показать, в каких случаях ее использование помогает компаниям.
Что касается аналогичных услуг, могли бы привести примеры, где клиентам предоставляются аппаратные средства защиты и bare-metal как услугу? Мы слышим от клиентов, что они выбирают нашу услугу за прозрачность и простое разграничение в вопросах безопасности по сравнению с альтернативными IaaS, в которых как раз имеются особенности: «размытие зон ответственности за безопасность, логический доступ провайдера к гипервизору и прочие».
Что делать компаниям, которые не могут пользоваться классическим IaaS из-за требований к безопасности