Выделенные серверы сертифицированы по ISO 27001
14 марта OVH получила сертификат ISO / IEC 27001: 2013 для системы управления информационной безопасностью выделенных серверов.
Этот сертификат, полученный после независимого аудита, проведенного компанией LNE, обеспечивает надежную уверенность для клиентов и пользователей услуг, размещенных на этих серверах.
ISO / IEC 27001 — это международный стандарт, который описывает «требования к созданию, внедрению, поддержке и постоянному совершенствованию системы менеджмента информационной безопасности» (СМИБ). Он описывает организационный метод, который обеспечивает конфиденциальность, целостность, доступность и прослеживаемость информационной системы.
С самого начала OVH безопасность была одной из основных целей групп, которые проектируют, эксплуатируют и развивают сервисы. СМИБ направлена на обеспечение систематического, сопоставимого и очевидного функционирования средств, реализованных для обеспечения безопасности.
СМИБ — это подход к созданию, поддержанию, мониторингу и обеспечению постоянного улучшения инструментов и процессов для:
На повседневной основе СМИБ состоит из управления всеми рискованными действиями для службы, такими как права доступа, конфигурации системы и оборудования, обновления программного обеспечения, обновления инфраструктуры, удаление данных, разделение между средами, мониторинг и инциденты. Обеспечение абсолютной безопасности — нереальная цель, но СМИБ помогает быстрее и надежнее выявлять уязвимости, ошибки и сбои. СМИБ обеспечивает быстрое выполнение корректирующих действий, и эти действия отслеживаются с течением времени.
Команда экспертов по безопасности работает с командами, отвечающими за проектирование и эксплуатацию службы, поддержку клиентов, группы продаж и руководство OVH, чтобы определить приоритетность этих улучшений. Координируя эти различные точки зрения в рамках жизненного цикла продукта, подход, основанный на оценке рисков, обеспечивает быструю, прагматичную и промышленную адаптацию систем и процессов к быстро меняющейся среде угроз.
Сертификационные аудиты проводятся аккредитованными компаниями, в данном случае LNE, аккредитованными COFRAC. Сам аудит проходит в строгом формате и основан на формальных требованиях. Аудит — это вызов для команд, но также и для аудитора. На основе посещений офисов и центров обработки данных, групповых интервью, углубленного анализа документации и наблюдения за системами в течение нескольких недель аудитор должен сформулировать свое мнение об актуальности реализованных мероприятий, их эффективности и, конечно, их соответствие всем требованиям стандарта ISO 27001. Аудитор также определяет возможности улучшения, которые необходимо рассмотреть в конце аудита.
Объем системы управления информационной безопасностью охватывает предоставление, подключение, оперативную поддержку и вывод из эксплуатации выделенных серверов, выделенных клиентам, ресурсы, предоставляемые клиентам для настройки, использования и мониторинга выделенной инфраструктуры и управления услугами командами OVH. Таким образом, СМИБ сконцентрирована на услугах, предоставляемых заказчику.
СУИБ охватывает все физические серверы, управляемые OVH, то есть несколько сотен тысяч серверов в центрах обработки данных группы. Понимание и управление безопасностью эффективным и устойчивым способом в таком широком диапазоне означает согласование каждого решения с принципами стандартизации и автоматизации промышленной модели OVH. В цепочке создания стоимости OVH все повторяющиеся задачи, выполняемые персоналом, должны быть постепенно сокращены. В результате СМИБ и безопасность улучшаются за счет автоматизации повседневной деятельности и разработки инструментов для безопасного управления сервисом. Вмешательство человека должно быть ограничено случаями, требующими глубокого анализа или сложной координации. Эта модель позволяет экспоненциально увеличивать масштаб системы управления при ограничении ресурсов, необходимых для ее работы.
В некоторой степени все продукты OVH используют информационные системы для поддержки услуги, и сами они размещаются на выделенных серверах, как и все другие продукты OVH. Определение графика зависимостей и внутренних обязанностей — это своего рода мизансцен. Однако это было предварительным условием для определения четкой и понятной организации безопасности, которая позволила СМИБ эффективно функционировать. Был применен модульный подход, позволяющий сегментировать и структурировать обязанности каждой задействованной команды. Эти отношения регулируются набором внутренних соглашений об обслуживании, определенных и отслеживаемых в СМИБ.
Например, центры обработки данных имеют отдельную СМИБ для обеспечения физической безопасности хостинговых сайтов и безопасности операций центра обработки данных. Эта СМИБ имеет независимую сертификацию и обеспечивает прочную основу для соблюдения требований к услугам.
Сертификация ISMS выделенного сервера основана на сертификации центра обработки данных и распространяется на серверы, размещенные в этих сертифицированных центрах обработки данных. На сегодняшний день это центры обработки данных в Рубе (RBX 2,3,5,6,7), все центры обработки данных в Страсбурге, Богарнуа, Сингапуре и Сиднее. Парижский центр обработки данных (P19), на котором размещена часть информационной системы для поддержки услуги, также затрагивается, хотя в нем нет выделенных серверов, выделенных клиентам. Хотя все серверы компании охвачены СУИБ, сертификация касается только этих центров обработки данных.
ISO 27001 — это общий стандарт, который решает проблемы большинства наших клиентов и устанавливает структуру и организацию для обеспечения безопасности услуг. Однако он не учитывает соблюдение требований, связанных с конкретным сектором бизнеса. Стандарт ISO 27001 предусматривает возможность добавления дополнительных требований, и для этой цели также разработана СМИБ для выделенных серверов. Таким образом, СМИБ будет постепенно интегрировать новые конкретные меры, чтобы покрыть, например, потребности в размещении персональных данных о здоровье, требования банковского сектора или нормативные особенности государственного сектора в разных странах, где OVH предоставляет услуги.
Параллельно группы работают над расширением периметра сертификации, чтобы включить в него все центры обработки данных группы, в частности центры в Эрите (Великобритания), Лимбурге (Германия), Озарове (Польша) и Гравелайнс (Франция). Цель состоит в том, чтобы предоставить всем клиентам OVH единый уровень гарантии безопасности независимо от выбранного региона центра обработки данных.
Наконец, группы продолжат работу с другими группами продуктов, чтобы завершить каталог сертифицированных продуктов и постепенно распространить его на все предложения OVH «Инфраструктура как услуга».
Этот сертификат, полученный после независимого аудита, проведенного компанией LNE, обеспечивает надежную уверенность для клиентов и пользователей услуг, размещенных на этих серверах.
Что такое стандарт и сертификация ISO 27001?
ISO / IEC 27001 — это международный стандарт, который описывает «требования к созданию, внедрению, поддержке и постоянному совершенствованию системы менеджмента информационной безопасности» (СМИБ). Он описывает организационный метод, который обеспечивает конфиденциальность, целостность, доступность и прослеживаемость информационной системы.
Ежедневная безопасность
С самого начала OVH безопасность была одной из основных целей групп, которые проектируют, эксплуатируют и развивают сервисы. СМИБ направлена на обеспечение систематического, сопоставимого и очевидного функционирования средств, реализованных для обеспечения безопасности.
СМИБ — это подход к созданию, поддержанию, мониторингу и обеспечению постоянного улучшения инструментов и процессов для:
- Выявление и консолидация обязательств OVH с точки зрения информационной безопасности.
- Установите соответствующие, понятные и последовательные цели информационной безопасности.
- Внедрение подхода, основанного на оценке рисков, для определения и приоритизации улучшений безопасности.
- Установите, промышленно внедряйте и используйте меры безопасности.
- Общайтесь и координируйте свои действия со всеми вовлеченными внутренними и внешними заинтересованными сторонами.
На повседневной основе СМИБ состоит из управления всеми рискованными действиями для службы, такими как права доступа, конфигурации системы и оборудования, обновления программного обеспечения, обновления инфраструктуры, удаление данных, разделение между средами, мониторинг и инциденты. Обеспечение абсолютной безопасности — нереальная цель, но СМИБ помогает быстрее и надежнее выявлять уязвимости, ошибки и сбои. СМИБ обеспечивает быстрое выполнение корректирующих действий, и эти действия отслеживаются с течением времени.
Командные усилия
Команда экспертов по безопасности работает с командами, отвечающими за проектирование и эксплуатацию службы, поддержку клиентов, группы продаж и руководство OVH, чтобы определить приоритетность этих улучшений. Координируя эти различные точки зрения в рамках жизненного цикла продукта, подход, основанный на оценке рисков, обеспечивает быструю, прагматичную и промышленную адаптацию систем и процессов к быстро меняющейся среде угроз.
Сертификационный аудит
Сертификационные аудиты проводятся аккредитованными компаниями, в данном случае LNE, аккредитованными COFRAC. Сам аудит проходит в строгом формате и основан на формальных требованиях. Аудит — это вызов для команд, но также и для аудитора. На основе посещений офисов и центров обработки данных, групповых интервью, углубленного анализа документации и наблюдения за системами в течение нескольких недель аудитор должен сформулировать свое мнение об актуальности реализованных мероприятий, их эффективности и, конечно, их соответствие всем требованиям стандарта ISO 27001. Аудитор также определяет возможности улучшения, которые необходимо рассмотреть в конце аудита.
Какой объем?
Объем системы управления информационной безопасностью охватывает предоставление, подключение, оперативную поддержку и вывод из эксплуатации выделенных серверов, выделенных клиентам, ресурсы, предоставляемые клиентам для настройки, использования и мониторинга выделенной инфраструктуры и управления услугами командами OVH. Таким образом, СМИБ сконцентрирована на услугах, предоставляемых заказчику.
Безопасность как код
СУИБ охватывает все физические серверы, управляемые OVH, то есть несколько сотен тысяч серверов в центрах обработки данных группы. Понимание и управление безопасностью эффективным и устойчивым способом в таком широком диапазоне означает согласование каждого решения с принципами стандартизации и автоматизации промышленной модели OVH. В цепочке создания стоимости OVH все повторяющиеся задачи, выполняемые персоналом, должны быть постепенно сокращены. В результате СМИБ и безопасность улучшаются за счет автоматизации повседневной деятельности и разработки инструментов для безопасного управления сервисом. Вмешательство человека должно быть ограничено случаями, требующими глубокого анализа или сложной координации. Эта модель позволяет экспоненциально увеличивать масштаб системы управления при ограничении ресурсов, необходимых для ее работы.
Модульная система управления информационной безопасностью (СУИБ)
В некоторой степени все продукты OVH используют информационные системы для поддержки услуги, и сами они размещаются на выделенных серверах, как и все другие продукты OVH. Определение графика зависимостей и внутренних обязанностей — это своего рода мизансцен. Однако это было предварительным условием для определения четкой и понятной организации безопасности, которая позволила СМИБ эффективно функционировать. Был применен модульный подход, позволяющий сегментировать и структурировать обязанности каждой задействованной команды. Эти отношения регулируются набором внутренних соглашений об обслуживании, определенных и отслеживаемых в СМИБ.
Например, центры обработки данных имеют отдельную СМИБ для обеспечения физической безопасности хостинговых сайтов и безопасности операций центра обработки данных. Эта СМИБ имеет независимую сертификацию и обеспечивает прочную основу для соблюдения требований к услугам.
Сертификация ISMS выделенного сервера основана на сертификации центра обработки данных и распространяется на серверы, размещенные в этих сертифицированных центрах обработки данных. На сегодняшний день это центры обработки данных в Рубе (RBX 2,3,5,6,7), все центры обработки данных в Страсбурге, Богарнуа, Сингапуре и Сиднее. Парижский центр обработки данных (P19), на котором размещена часть информационной системы для поддержки услуги, также затрагивается, хотя в нем нет выделенных серверов, выделенных клиентам. Хотя все серверы компании охвачены СУИБ, сертификация касается только этих центров обработки данных.
Что дальше?
ISO 27001 — это общий стандарт, который решает проблемы большинства наших клиентов и устанавливает структуру и организацию для обеспечения безопасности услуг. Однако он не учитывает соблюдение требований, связанных с конкретным сектором бизнеса. Стандарт ISO 27001 предусматривает возможность добавления дополнительных требований, и для этой цели также разработана СМИБ для выделенных серверов. Таким образом, СМИБ будет постепенно интегрировать новые конкретные меры, чтобы покрыть, например, потребности в размещении персональных данных о здоровье, требования банковского сектора или нормативные особенности государственного сектора в разных странах, где OVH предоставляет услуги.
Параллельно группы работают над расширением периметра сертификации, чтобы включить в него все центры обработки данных группы, в частности центры в Эрите (Великобритания), Лимбурге (Германия), Озарове (Польша) и Гравелайнс (Франция). Цель состоит в том, чтобы предоставить всем клиентам OVH единый уровень гарантии безопасности независимо от выбранного региона центра обработки данных.
Наконец, группы продолжат работу с другими группами продуктов, чтобы завершить каталог сертифицированных продуктов и постепенно распространить его на все предложения OVH «Инфраструктура как услуга».