DataFort стал одним из первых облачных провайдеров в России, чья платформа имеет аттестат соответствия, полученный по новой методике, утвержденной приказом ФСТЭК России № 77 от 29.04.2021 г.
Аттестат является бессрочным, при этом инспекционный контроль, подтверждающий уровень защиты информации, будет проводиться не реже одного раза в два года независимым лицензиатом ФСТЭК России.
За три года, прошедшие с предыдущей аттестации платформы DataFort, в законодательство и требования регуляторов были внесены многочисленные изменения. Так, например, документ, которым ранее руководствовались при моделировании угроз безопасности, не менялся с 2008 г. и многие его положения принципиально устарели. Новая методика моделирования угроз безопасности информации была разработана ФСТЭК России в 2020 г. и после обсуждения в экспертном сообществе утверждена в апреле 2021 года. При разработке данного документа авторы учли, что информационные системы теперь могут располагаться в коммерческих центрах обработки данных и в облачной инфраструктуре провайдера.
«Как таковой процесс аттестации не был трудным, однако занял продолжительное время. Конечно, отчасти это связано с новыми методиками ФСТЭК, но основной сложностью стала замена всех сертифицированных средств защиты информации, которые мы применяли ранее. По новым требованиям, прописанным в приказе ФСТЭК № 17, все средства технической защиты конфиденциальной информации, применяемые в нашем случае, должны иметь сертификаты ФСТЭК России по 4 уровню доверия. А на момент нашей аттестации далеко не все вендоры прошли сертификацию по уровням доверия» — отметил директор по информационной безопасности DataFort Егор Бигун.
Он подчеркнул, что теперь платформа DataFort готова размещать у себя различные ГИС и ИСПДн, владельцы которых планируют аттестовать их по новой методике ФСТЭК. Это актуально еще и для тех, кто хочет аттестоваться по требованиям ГИС (например, медицинские информационные системы), а также для тех, кто хочет аттестовать свои ИСПДн. При этом клиентам DataFort будет доступен весь набор документов, которые могут потребоваться при аттестации: выписки из модели угроз или техпаспорта, описание разделения зон ответственности и прочие документы.