Сертифікати хмарних операторів: на що слід звернути увагу

Привіт! Мене звати Данило Бєлов, я директор з розвитку бізнесу в компанії UCloud. Досить часто в спілкуванні з потенційними партнерами та клієнтами я натрапляю на питання про важливість сертифікатів для хмарних операторів. Які з них важливі для роботи, про що вони свідчать та як їх отримують.

Про створення міжнародних стандартів якості у світі почали замислюватись після завершення Другої світової війни. А у 1947 році була створена міжнародна організація ISO, яка є найвідомішим органом сертифікації у світі.

З того часу минуло майже сторіччя, і питання сертифікації не лише не зникло, а стало ще більш актуальним. У сучасному світі, де існує величезна кількість компаній, засобів для ведення бізнесу та способів виробництва продуктів / послуг, дуже важливо дотримуватися певних стандартів. А сертифікати — це та річ, яка доводить, що компанія їх дотримується.

У цьому матеріалі я поділюсь власним баченням сертифікації хмарних операторів та розповім про досвід нашої компанії здобуття сертифіката КСЗІ на окрему інфраструктуру Українського державного центра міжнародної освіти.

Про що говорить наявність сертифікатів?

Сертифікація за міжнародними стандартами — це важлива складова успішного бізнесу. Наявність сертифікатів у компанії свідчить про її відповідність певним стандартам, які визначаються органом, який і видає сертифікат.

Сертифікати, як і органи, які їх видають, можуть бути дуже різними. Одні свідчать про відповідність певним стандартам захисту інформації, інші — стандартам управління процесами, треті — стандартам щодо соціальної відповідальності. Варіантів насправді безліч.

Як відбувається процедура сертифікації?

З власного досвіду можу сказати, що це досить тривалий та не дуже дешевий процес, проте необхідний в умовах високої конкуренції на ринку хмарних сервісів. Спочатку потрібно провести аудит усередині компанії, аби побачити реальний стан справ та виправити проблеми, якщо такі є. Згодом треба звернутися в орган сертифікації, який проводить власний аудит. На його основі орган може дати рекомендації з покращення певних процесів. Якщо компанія впроваджує ці рекомендації, їй видають сертифікат.

Звучить досить легко, проте це не завжди так. Упровадження деяких стандартів може потребувати багато ресурсів — як фінансових, так і людських. Тому деколи компанії витрачають дуже великі кошти в спробах отримати омріяний сертифікат.

Тоді чому ж компаніям вигідно отримувати сертифікати? На це є кілька причин:

  • Підвищення задоволеності клієнтів. Розвиток будь-якої компанії багато в чому залежить від задоволеності вже наявних клієнтів. Сертифікація спонукає бізнес покращувати свій продукт чи послугу, відповідно, задоволеність цими послугами в наявних клієнтів зростає. Так бізнес може розраховувати на повторне звернення або рекомендацію.
  • Покращення репутації компанії в очах партнерів. Наявність сертифікатів свідчить про відповідність певним стандартам. Якщо потенційному партнеру важливо, наскільки якісно ваша компанія захищає інформацію клієнтів, ви можете підтвердити свої слова сертифікатом.
  • Збільшення частки ринку. Звісно, сертифікати впливають не лише на вже наявних клієнтів та потенційних партнерів, але і на потенційних клієнтів. Визнані сертифікати якості можуть позитивно виокремити компанію серед конкурентів та збільшити частку ринку, яку займає компанія.
  • Захист від витоку інформації. Хмарні оператори мають велику кількість інформації клієнтів, зокрема і критично важливої. Тому головними сертифікатами для таких компаній, як наша, є відповідність стандартам захисту інформації, наприклад, ISO/IEC 27001. Такий сертифікат не гарантує повну безпеку даних, але демонструє, що компанія відповідально ставиться до їх збереження.

Основні сертифікати для хмарних операторів

При виборі хмарного оператора потенційні клієнти порівнюють конкурентів, шукаючи відповідальну та якісну компанію. Одним із факторів вибору може стати наявність сертифікатів. Проте як розібратись у цілій купі документів, які часто додають на свої сайти хмарні компанії? Що вони означають та наскільки вони важливі?

Я можу виділити 4 основних сертифікати якості, які найбільш розповсюджені для українського ринку та мають певну вагу саме для хмарних операторів.

ISO 9001. Загалом ISO (International Organization for Standardization) найвідоміша та найавторитетніша міжнародна організація з ратифікації стандартів. Її стандарти визнають понад 170 країн світу, зокрема й Україна. Щодо сертифіката ISO 9001, то він демонструє загальну якість менеджменту. Існує багато критеріїв, на основі яких видається сертифікат, зокрема клієнтоорієнтованість, постійне вдосконалення, системний підхід в роботі та інше.

ISO/IEC 27001. Ще один сертифікат від ISO, який критично важливий саме для хмарних операторів. Один з найбільших викликів для цього виду бізнесу — це зберігати дані клієнтів під надійним захистом, і сертифікат ISO/IEC 27001 саме про це. Тривалий час у світі намагались розробити єдині правила захисту персональних даних, у результаті чого з’явився Загальний регламент захисту персональних даних (GDPR). Цього регламенту повинні дотримуватись усі компанії, які обробляють дані суб’єктів ЄС. Документ є, але сертифікату, який підтверджує відповідність цим стандартам, немає. Тут на допомогу і приходить ISO 27001, стандарти якого багато в чому схожі з вимогами GDPR, а відповідність цим стандартам можна затвердити сертифікатом.

КСЗІ. Комплексна система захисту інформації — це теж про інформаційну безпеку. Ця система керування інформаційною безпекою забезпечує захист конфіденційності, цілісності та доступності інформації. Аби впровадити КСЗІ, потрібно виконати цілу низку заходів, тому часто до побудови КСЗІ залучають спеціалізовані на цьому компанії. Проте атестат відповідності КСЗІ видають державні органи України.

ITIL. Information Technology Infrastructure Library — це збірка найкращих практик з керування IT-послугами. На відміну від попередніх пунктів, сертифікат ITIL може отримати не ціла компанія, а окремий її працівник або ж директор. Річ у тім, що ITIL — це не загальні стандарти, які впливають на безпеку даних клієнтів, а скоріше поради та загальні принципи роботи для IT-компаній. Наявність в одного з керівників компанії сертифіката ITIL демонструє, що всередині бізнесу все працює злагоджено та за перевіреною світовою методологією, тому ви, ймовірно, отримаєте якісну послугу.

Велика кількість сертифікатів — не ознака якості

У своїй практиці я натрапляв на випадки, коли компанії, зокрема і хмарні оператори, намагаються замилити очі потенційним клієнтам або партнерам великою кількістю різноманітних сертифікатів. Проте важливо розуміти, що це не завжди ознака якості.

Сертифікати — це лише відповідність певним критеріям, яких вимагає дотримуватися ратифікуючий орган. Наприклад, наявність сертифіката ISO/IEC 27001 не дає 100% гарантію, що дані залишаться в безпеці. Це лише демонструє, що компанія дотримується певних стандартів безпеки даних. Разом з тим хороші хмарні оператори мають власні методи захисту даних, які не підпадають під стандарти ISO, але є дієвими в певних ситуаціях.

Це ж стосується й інших сертифікатів, особливо від менш авторитетних організацій. Насправді їх можна отримати незліченну кількість від різноманітних ратифікуючих органів. Справа лише в коштах та часі на впровадження певних стандартів. Але якщо ви бачите, що компанія має безліч сертифікатів та отримує їх для кількості, варто насторожитися.

У якісного провайдера клієнт може отримати окремий сертифікат на свою інфраструктуру

З власного досвіду можу сказати, що відсутність певного сертифіката, який з тих чи інших причин потрібен клієнту, не свідчить про погану якість послуг. Як я вже зазначав, отримання сертифікатів — це тривалий та дорогий процес, та й здобути всі можливі сертифікати просто нереально. Головне, аби хмарний оператор надавав якісні послуги та надійно зберігав дані, і у такому випадку замовник зможе отримати потрібний йому сертифікат окремо на свою інфраструктуру.

Так було у нашому випадку з Українським державним центром міжнародної освіти. Ця установа звернулась до нас у 2019 році, коли ми ще не мали власного сертифіката КСЗІ. Проте, згідно із законодавством, для державних установ цей сертифікат є обов’язковим. Тому ми розпочали процес отримання КСЗІ окремо на інфраструктуру УДЦМО.

Найважчим у цьому процесі було зруйнувати стереотип представників Держспецзв’язку України, який видає сертифікат, що інформація може бути захищеною лише за наявності окремих приміщень із серверами та охоронцем. УДЦМО була однією з перших держустанов, яка вирішила оптимізувати використання ресурсів та звернутися до хмарного оператора. Тому ми в певному сенсі були першопрохідцями.

У процесі отримання КСЗІ ми відкрито та злагоджено співпрацювали з клієнтом та надали всі технічні дані щодо роботи наших серверів та загалом компанії. Регулятор підтвердив наші стандарти захисту інформації, а тому УДЦМО без особливих проблем отримав сертифікат КСЗІ на свою інфраструктуру.

Висновки

Обираючи хмарного оператора як партнера або надавача послуг, звісно, варто зважати на сертифікати, які є в компанії. Проте необхідно також оцінювати, наскільки той чи інший сертифікат є цінним для цього бізнесу та що він означає. Це допоможе не потрапити на «гачок» хибної думки про те, що чим більше в компаній сертифікатів, тим якісніші послуги вони надають. Як бачите, з якісним хмарним оператором у вас не буде проблем отримати необхідний сертифікат на окрему інфраструктуру.

Проте я все ж раджу звертати увагу на сертифікати ISO, особливо ISO 27001, який справді є важливим для хмарних операторів. В іншому ж, зважайте на різні критерії: відгуки, історія співпраці, авторитет, методи роботи, якість послуг. З таким підходом ви точно отримаєте надійного хмарного партнера.

👍ПодобаєтьсяСподобалось1
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

ISO 9001 це взагалі ні про що, це просто сертифікат, що компанія проводить певний контроль якості продукту й процесів

GDPR поза ЄС — взагалі ні про що, по перше, а по друге, це не впливає на вибір провайдера, бо це суто процесні вимоги для компанії загалом. Можна бути цілком комплайент з GDPR для маленької контори, маючи всього навсього пару зошитів і олівець, якщо розбиратися в темі. Для процесінгу ж персональних даних, абсолютно начхати як там воно обробляється/зберігається клаудом — воно вже має бути оброблено застосунком компанії й закриптовано/почищено. Ondisk encryption не поможе тут, якщо кожна швабра з комп’ютером може просто дивитись чи аналізувати те що в клауді, коли воно розшифроване, як приклад. А тим хто шукає справді комплаєнс від клауда по GDPR для конкретної обробки, це буде окремий DPA, і тоді просто не можна зберігати чи процесити дані поза ЄС, вони навіть в сторону України не дивитимуться, як їм з України сильно рукою не махатимуть

Про ITIL аж кашлянув

ISO 27001

Єдине що серйозно заслуговує увагу зі статті, але тут не в сертифікаті справа, а в аудиторі й аудиті. Сертифікат сам по собі нуль без палочки, він настільки хороший і якісний, наскільки якісний і викликає довіру аудит, а будь яка історія про витік, множить його на нуль незалежно від будьчого

Як ви й написали

Це лише демонструє, що компанія дотримується певних стандартів безпеки даних

ну то ж кожна компанія дотримується певних стандартів безпеки :)

Загалом корінь проблеми тут

Проте, згідно із законодавством, для державних установ цей сертифікат є обов’язковим

І без аудиту якісного регулярного, й колючих штрафів навіть це — дірка бублика

В інших випадках — к х_ям ті всі сертифікати, якщо в самій компанії витоки які роблять заголовки, чи висять банально відкриті порти, все одно що подорожник до лоба прикласти, щоб СНІД не підцепить. В країні ж де суд не має довіри і діряве законодавство — це архінонсенс. Якщо хочете переконати в іншому когось хто розбирається в цьому лайні — чекатиму історію, коли за порушення вимог КСЗІ якийсь київстар оштрафують на відсоток відчутний для обороту.

ISO чи GDPR в ЄС і Україні — різні речі за суттю. Бо вся ця мутота будується на trust, і в кінцевому рахунку — на працюючих законодавстві та судовій системі

В Україні це pixie dust, з таким же результатом можна просто почепити значок на сайті й не паритись — красиву золоту медаль з лавровим вінком, і великими літерами щось типу «Номер 1 в ISO 27001». Все одно жодної відповідальності нема

блін, я тільки почав читати і думаю — невже це про КСЗІ?
і точно:

досвід нашої компанії здобуття сертифіката КСЗІ

Найбільш ідіотський сертифікат із всіх можливих. Пам’ятаю як ми сертифікували наш вузол інтернет (давним давно). Сертифікували його люди які нічого в захисті інформації не смислять, за винятком того які мають бути двері, решітки на вікнах, де мають зберігатися ключі (до дверей), яка процедура видачі і т.п. В конфігурації цисок і файрволів вони ніхрена не розуміли, головне щоб конфіг був роздрукований і підшитий до документів, бекапи (на CD) пронумеровані і т.д і т.п.

Біді адміни які другують і підшивають кожну зміну конфігурації циски
Ще мабуть у великого начальника її треба мокрою печаткою завірити :-)

таке скажеш. конфіги ніззя міняти вони ж затверджені.
ото так як є воно безпечно, а як поміняєш конфіг — то вже ні ))
а якщо серйозно — я не памятаю чи була там якась процедура погодження внесення змін з ораганом який видав сертифікат/ресертифікації, ми на це поклали.

На відміну від попередніх пунктів, сертифікат ITIL може отримати не ціла компанія,

Ой бідааааа... А все тому що не в сертифікаті справа.

Підписатись на коментарі