Мы со всей серьезностью подходим к вопросам безопасности

Решение для защиты облачных сред — критически важный компонент вашей ИТ-инфраструктуры. С его помощью осуществляется контроль доступа сотрудников, подрядчиков, партнеров и клиентов к облачным службам. Решение McAfee MVISION Cloud с самого начала разрабатывалось с целью помочь вам соответствовать требованиям безопасности и нормативно-правового соответствия, а также стать надежным сервисом корпоративного класса.

McAfee вкладывает очень много сил и средств, чтобы обеспечить сервис корпоративного класса. Вот во что мы вкладываем эти силы и средства:

  • Отчет SOC2 (тип II)
  • FedRAMP
  • Стандарт ISO 27017
  • Стандарт ISO 27018
  • Стандарт ISO 27001
  • FIPS 140-2
  • CSA STAR
  • Прозрачность мер безопасности и нормативно-правового соответствия
  • Операции по обеспечению безопасности и защита данных
  • Специалисты по ИБ и надзор
  • Независимое испытание на проникновение и наличие уязвимостей

Сертификаты

В следующем разделе представлен обзор отраслевых и сторонних сертификатов, которые получил или получит комплект продуктов MVISION Cloud.

Отчет SOC2 (тип II)

Отчет SOC 2 (тип II) — отчет, подтверждающий заявление руководства организации-пользователя MVISION Cloud о наличии определенных средств контроля, соответствующих критериям надежности сервисов (Trust Services Criteria — TSC) Американского института дипломированных бухгалтеров (American Institute of Certified Public Accountants — AICPA).

Критерии надежности сервисов перечислены ниже:

  • Безопасность. Система защищена от несанкционированного доступа (как физического, так и логического).
  • Доступность. Система доступна для работы и использования согласно обязательствам или договоренностям.
  • Целостность обработки информации. Обработка информации системой осуществляется в полном объеме, точно и санкционировано.
  • Конфиденциальность. Информация, обозначенная как конфиденциальная, защищена в соответствии с политикой или соглашением.
  • Защита персональных данных. Персональные данные собираются, используются, хранятся, раскрываются и уничтожаются в соответствии с обязательствами, изложенными в заявлении организации о защите личной информации, и с критериями, установленными общепринятыми принципами защиты персональной информации (Generally Accepted Privacy Principles — GAPP), разработанными AICPA.

Отчет содержит заключение консультационно-ревизорской фирмы, в котором указано, согласна ли консультационно-ревизорская фирма с заявлениями руководства организации. В заключении отмечается, что имеются соответствующие средства контроля для работы с выбранными критериями (TSC), и эти средства контроля разработаны (отчет типа I) или разработаны и действуют эффективно (отчет типа II).

Отчет SOC2 (тип II)

FedRAMP

Решение MVISION Cloud получило сертификат Федеральной программы управления рисками и авторизацией (Federal Risk and Authorization Management Program — FedRAMP), что позволяет государственным ведомствам обеспечивать соответствие политике правительства США в сфере облачных вычислений путем внедрения решений на базе технологии «программное обеспечение как услуга» (SaaS), например, Office 365, которая позволяет легко реализовать политики обеспечения безопасности, соблюдения требований нормативно-правового соответствия и управления. Этот сертификат требует от поставщиков облачных услуг соблюдения строгих требований безопасности, которые являются обязательными для всех государственных ведомств. Skyhigh (новое название — MVISION Cloud) стал первым брокером безопасного доступа в облако (CASB), официально признанным «системой, обеспечивающей соответствие требованиям программы FedRAMP».

FedRAMP

Стандарт ISO 27001

ISO 27001 — один из самых надежных сертификатов, которые может получить поставщик облачных услуг. Получение сертификата ISO отражает тот факт, что решение MVISION Cloud ориентировано на обеспечение безопасности самых разных функций. Мы гордимся тем, что Skyhigh (новое название — MVISION Cloud) стал первым брокером безопасного доступа в облако, получившим этот сертификат, что позволило нам присоединиться к 4 % поставщиков облачных решений, прошедших широкомасштабный процесс аттестации. Соответствие стандарту ISO 27001 включает в себя обязательное обучение и тестирование всех сотрудников по общим вопросам информационной безопасности и интернет-угроз. Решение MVISION Cloud получило сертификат ISO 27001 после привлечения к процессу сертификации Британского института стандартов (BSI), что свидетельствует о нацеленности решения на открытые стандарты и средства контроля, а также о зрелости имеющихся средств и методов защиты.

Стандарт ISO 27017

ISO 27017 — это дополнительный стандарт ISO, представляющий собой руководство по внедрению дополнительных средств управления информационной безопасностью для поставщиков облачных услуг. MVISION Cloud — один из первых в США брокеров безопасного доступа в облако, получивших сертификат ISO 27017. Этот международный стандарт содержит рекомендации по внедрению средств управления информационной безопасностью для потребителей облачных услуг, реализующих указанные средства управления, и для поставщиков облачных услуг, осуществляющих поддержку их внедрения. Стандартом также определяется ответственность поставщика облачных услуг и потребителя облачных услуг. Этот сертификат, как и сертификат 27018, расширяет возможности клиентов по выполнению собственные обязательства по обеспечению конфиденциальности в соответствии с требованиями местных и отраслевых норм.

Стандарт ISO 27018

ISO 27018 — первый международный стандарт, ориентированный на защиту персональных данных в публичном облаке и устанавливающий средства управления и руководства для реализации мер по защите информации личного порядка (Personally Identifiable Information — PII), хранящейся в публичном облаке. Skyhigh (новое название — MVISION Cloud) стал первым брокером безопасного доступа в облако, прошедшим сертификацию по стандарту ISO 27018, а компания McAfee одной первых среди ключевых поставщиков облачных услуг в США получила сертификат соответствия. Сертификат подтверждает, что в MVISION Cloud встроены средства обеспечения безопасности для защиты личной информации клиентов. Сертификат гарантирует, что MVISION Cloud обрабатывает личную информацию клиентов в соответствии с инструкциями клиентов, поддерживает прозрачность в отношении способов хранения, удаления и доступа к информации, не использует данные клиентов в целях рекламы, а также раскрывает клиентам любые запросы на предоставление их данных со стороны правоохранительных органов. Кроме того, этот сертификат позволяет клиентам выполнять собственные обязательства по обеспечению конфиденциальности в соответствии с требованиями местных и отраслевых норм.

FIPS 140-2

Решение MVISION Cloud сертифицировано по стандарту FIPS (Федеральный стандарт обработки информации). FIPS 140-2 также фактически стал стандартом шифрования негосударственных учреждений и признан важным стандартом безопасности за пределами США. Сертификация по стандарту FIPS 140-2 гарантирует, что шифрование данных в MVISION Cloud тщательно протестировано сторонними компаниями и может обеспечить предприятиям наивысший уровень защиты.

CSA STAR

CSA STAR — это программа обеспечения безопасности для поставщиков облачных услуг, учрежденная Альянсом облачной информационной безопасности (Cloud Security Alliance — CSA), признанным авторитетом в сфере облачной безопасности. Программа STAR объединяет ключевые принципы прозрачности, строгого аудита, гармонизации стандартов и непрерывный мониторинг на основе матрицы управления облачными вычислениями (Cloud Controls Matrix — CCM) CSA. Матрица управления облачными вычислениями CSA представляет собой набор облачных средств управления безопасностью, сопоставленных с передовыми стандартами, отраслевыми наработками и нормативами. В рамках программы CSA STAR решение MVISION Cloud прошло самостоятельную оценку, подтвердившую его соответствие передовым наработкам в сфере облачной безопасности и надлежащий уровень безопасности предлагаемых облачных услуг. Анкета MVISION Cloud для согласованной оценки (Consensus Assessments Initiative Questionnaire — CAIQ) CSA размещена по адресу https://cloudsecurityalliance.org/star/registry/mcafee/.

CSA STAR

Прозрачность мер безопасности и нормативно-правового соответствия

Компания McAfee получила сертификат конфиденциальности TRUSTe, означающий, что принятые в компании политика и методы обеспечения конфиденциальности соответствуют требованиям программы TRUSTed Cloud и требованиям положения о безопасной гавани ЕС (Safe Harbor ЕС). Кроме того, наши средства обеспечения безопасности представлены для включения в Реестр по безопасности, доверию и надежности Альянса информационной облачной безопасности.

Операции по обеспечению безопасности и защита данных

Подразделение McAfee, занимающееся операциями по обеспечению безопасности, работает в партнерстве с ведущими компаниями отрасли, такими как AWS и XO Communications, над построением безопасной высокопроизводительной и отказоустойчивой инфраструктуры. Доступ к инфраструктуре строго контролируется и предоставляется только доверенным старшим сотрудникам отделов. Использование двухфакторной аутентификации и виртуальных частных сетей (VPN) на основе протоколов IPSec обеспечивает строгую проверку подлинности и шифрование данных.

Специалисты по ИБ и надзор

Наш отдел услуг был создан коллективом опытных специалистов, зарекомендовавших себя в сфере обеспечения безопасности корпоративных технологий. До основания Skyhigh они работали в компании Cisco и занимались разработкой продуктов, дающих клиентам возможность администрировать, принудительно применять и проверять согласованные, созданные на основе стандартов политики доступа в масштабе всего ИТ-стека. Специалисты отдела разработали продукт Identity Services Engine, который был удостоен в Cisco престижной награды Pioneer Award и стал для нее технологией, изменившей все предыдущие правила игры.

Независимое испытание на проникновение и наличие уязвимостей

Несмотря на то что мы непрерывно проводим собственный аудиты, мы хорошо помним принцип американского физика Ричарда Файнмана (Richard Feynman): «Не обманывайте сами себя. А себя как раз проще всего обмануть». Поэтому основные выпуски программного обеспечения подвергаются придирчивому аудиту третьей стороны. Его выполняет компания Kratos не реже четырех раз в год.

Бесплатная демонстрация

Запросить

Аудит облачных технологий

Начало работы