В сентябре 2021 года мы отразили крупнейшую DDoS‑атаку в России — сервисы Яндекса остались доступными для пользователей.
Как защитить бизнес от киберугроз в 2025 году
В статье расскажем, зачем бизнесу инвестировать в защиту данных, какие угрозы наиболее опасны в 2025 году и как классифицировать и внедрять средства защиты, включая облачные решения.
4 июля 2025 г.
20 минут чтения
Краткий пересказ YandexGPT
- Защита информации в бизнесе необходима для укрепления доверия клиентов, сохранения репутации и предотвращения финансовых потерь от кибератак.
- CIA-триада (конфиденциальность, целостность, доступность) — основа политики кибербезопасности большинства российских компаний.
- Основные угрозы информационной безопасности включают инсайдерские действия, ошибки в программах, DDoS-атаки и долгосрочные APT-кампании.
- Риски облачной инфраструктуры связаны с ошибками в настройках, уязвимостями в API и атаками между арендаторами.
- Методы защиты информации включают многоуровневую защиту, минимальные привилегии, Zero Trust, Security by Design / Shift Left и Threat Modeling.
- Средства защиты информации классифицируются на программные, программно-аппаратные комплексы, аппаратные, комплексные системы и криптографию.
- Защита информации в облачных системах требует сегментации, минимальных привилегий и регулярного контроля, а также использования встроенных инструментов и автоматизации.
- Сертификация и требования к средствам защиты информации важны для соответствия нормативным требованиям и обеспечения безопасности данных.
Первая в мире распределённая сеть передачи данных с коммутацией пакетов, созданная агентством DARPA в 1969 году и ставшая прототипом современного интернета.
Мейнфрейм‑компьютер компании DEC (1960–1980‑е годы). Широко использовался в научных и исследовательских сетях, включая ранний интернет ARPANET.
Вступил в силу 30 мая 2025 года.
Не менее 20 млн и не более 500 млн рублей.
Стандартные идентификаторы уязвимостей в программном обеспечении, зарегистрированные в международной базе Common Vulnerabilities and Exposures (CVE).
В 1971 году сетевой червь Creeper впервые показал, что сеть ARPANET уязвима: он самостоятельно перемещался между компьютерами PDP‑10 и выводил сообщение: «I’m the Creeper, catch me if you can!». А в 1986 году вирус Brain впервые массово заразил персональные компьютеры, повредив загрузочные секторы 5,25‑дюймовых дискет. Обе атаки произвели сильное впечатление в своё время и заставили компании серьёзно задуматься о кибербезопасности.
Со времён атаки вирусов Creeper и Brain прошли годы, и эпизодические атаки уступили место целевым APT‑кампаниям, во время которых злоумышленники неделями или даже месяцами незаметно контролируют инфраструктуру компаний и крадут данные. Последствия таких кибератак обходятся бизнесу в миллиарды долларов.
Зачем бизнесу защита информации
В 2024 году 57% компаний рассматривали вложения в защиту как способ укрепить доверие клиентов, а 49% — как инструмент для сохранения репутации.
От года к году траты на безопасность растут: с 2021 года компании вложили в кибербезопасность более 1,75 трлн, а ежегодные расходы превысили 459 млрд долларов. В ответ на рост угроз сформировалась CIA‑триада. Название происходит от первых букв принципов в оригинале:
- конфиденциальность (Confidentiality) — не допускать несанкционированный доступ к данным;
- целостность (Integrity) — предотвращать искажение данных;
- доступность (Availability) — гарантировать бесперебойную работу систем.
Политика большинства российских компаний опирается на баланс этих трёх свойств и закрепляется нормативами:
- ГОСТ Р ИСО/МЭК 27001‑2019,
- СТО БР ИББС 1.0‑2019,
- ФЗ‑152 «О персональных данных»,
- ФЗ‑187 «О безопасности критической информационной инфраструктуры»,
- ГОСТ Р 57580 (для банковских и финансовых организаций),
- PCI DSS (для банковских и финансовых организаций),
- и приказами ФСТЭК.
При оценке рисков компании теперь учитывают не только возможную утечку интеллектуальной собственности, штрафы от регуляторов и остановку критически важных процессов, но и оборотные штрафы за утечку персональных данных: Федеральный закон № 420‑ФЗ от 30 ноября 2024 года ввёл санкции до 3% годовой выручки предприятия за повторное нарушение в течение года.
Последствия атак включают не только прямые финансовые потери и штрафы, но и снижение доверия клиентов — это часто наносит даже больший урон выручке.
В отраслях с высоким уровнем регулирования, например финансах, здравоохранении и государственном секторе, требования к защите данных закреплены на законодательном уровне.
Поэтому надёжная кибербезопасность — не просто необходимость, а конкурентное преимущество.
Основные угрозы и риски информационной безопасности
За последний год 83% организаций столкнулись как минимум с одной серьёзной инсайдерской атакой. По данным IBM, примерно такой же процент компаний пережил сразу несколько инцидентов с утечкой данных.
Атаки становятся масштабнее и сложнее: 72% руководителей говорят о росте киберрисков и отмечают, что злоумышленники постоянно совершенствуют методы.
Риски традиционно делятся на две категории:
- устоявшиеся, или традиционные,
- специфические для облачных сред.
Традиционные угрозы
Четыре классических типа угроз — инсайдерские действия, ошибки в программах, DDoS‑атаки и долгосрочные APT‑кампании — всё ещё наносят наибольший ущерб. Рассмотрим каждую подробнее.
Инсайдерские угрозы
Ошибки или намеренные действия сотрудников часто приводят к утечкам данных и саботажу. В 2025 году средний ущерб от таких инцидентов вырос до 17,4 млн долларов.
Уменьшить риски помогут чёткое разделение обязанностей, минимальные привилегии, когда сотрудникам предоставляется только необходимый доступ, и постоянный мониторинг поведения персоналa.
Уязвимости ПО
Ошибки в коде и неправильные настройки программ остаются одной из основных причин взломов. В 2025 году на такие уязвимости пришлось 20% всех подтверждённых утечек данных. За год показатель вырос на 34%, главным образом из‑за атак на периферийные устройства и VPN.
В Национальной базе уязвимостей сейчас около 299 тыс. CVE‑записей — это в 46 раз больше, чем в 2016 году, когда их было примерно 6450.
Защититься от таких уязвимостей помогает быстрая установка обновлений и контроль настроек с помощью таких инструментов, как IaC‑сканер. Это помогает закрыть основной путь для взлома и уменьшить время на возможные атаки.
DDoS‑атаки
DDoS‑атаки перегружают инфраструктуру компаний миллионами запросов. В 2024 году зафиксировали рекордную атаку мощностью 5,6 Тбит/с. За год общее число DDoS‑инцидентов выросло на 53%. Число атак мощностью больше 1 Тбит/с увеличилось почти в 19 раз.
В 2023 году наша система защиты «Антиробот» заблокировала 989 атак уровня приложений (L7). Пиковая нагрузка достигала 13,4 млн запросов в секунду (RPS), а средняя мощность была 200 тыс. RPS.
Мы ежедневно нейтрализуем сложные DDoS‑атаки, сохраняя SLA и защищая данные клиентов.
Современные DDoS‑атаки: как бизнесу защититься от новых типов угроз
Broken Object Level Authorization — уязвимость API, при которой нарушается проверка прав доступа к объектам, позволяя пользователям обращаться к чужим данным.
Mutual TLS — двусторонняя аутентификация на основе TLS, где и сервер, и клиент проверяют сертификаты друг друга.
Открытый протокол для безопасной авторизации и предоставления доступа к ресурсам без передачи паролей.
OpenID Connect — слой аутентификации поверх OAuth 2.0, позволяющий проверять личность пользователя.
Endpoint Detection and Response — системы обнаружения и реагирования на угрозы на конечных устройствах.
Public Key Infrastructure — инфраструктура открытых ключей, используется для безопасного обмена информацией и шифрования.
Data Loss Prevention — системы, предотвращающие утечку конфиденциальной информации.
Security Information and Event Management — система управления информацией и событиями безопасности, которая собирает и анализирует события из различных источников в режиме реального времени.
Hold Your Own Key — хранение собственных ключей шифрования внутри компании.
APT‑кампании
Финансируемые злоумышленники проникают в корпоративные сети, незаметно закрепляются и остаются там на недели, месяцы, а иногда и годы. Они используют фишинг, эксплуатацию уязвимостей и вредоносное ПО: шифровальщики, шпионские программы и инструменты удалённого доступа. Также они применяют тактику living‑off‑the‑land — использование легитимных инструментов компании для обхода защиты.
Одна из наиболее известных долгосрочных APT‑кампаний — Volt Typhoon. Эта группа не менее пяти лет незаметно контролировала доступ к критической инфраструктуре США и готовила сценарии саботажа.
Риски облачной инфраструктуры
Облако упрощает работу с IT‑ресурсами, но у него есть своя специфика безопасности и риски, которые отличаются от традиционной инфраструктуры. Один из главных рисков — ошибки в настройках. Именно они чаще всего становятся причиной утечек данных в облаке. До 80% таких инцидентов происходят из‑за хранилищ, открытых для общего доступа, или неправильно защищённых баз данных. Для защиты от подобных угроз необходим постоянный контроль настроек с помощью решений CSPM.
Ещё один значимый риск — уязвимости в API. Облачные сервисы обычно обмениваются данными с помощью сетевых протоколов REST, GraphQL и gRPC. При их использовании возникают логические ошибки: непроверенные права доступа, SQL- и NoSQL‑инъекции или BOLA. Всё это делает API удобной точкой входа для атак. Минимизировать эти риски помогают инструменты защиты API, многофакторная аутентификация на основе протоколов mTLS, OAuth 2.0 и OIDC, а также анализ поведения трафика.
Использование общей (многоарендной) среды повышает вероятность атак между арендаторами. Ошибка в гипервизоре или сетевых политиках может привести к раскрытию данных других клиентов. В чувствительных отраслях этот риск уменьшают, применяя выделенные среды и модель BYOK, при которой компания использует собственные ключи шифрования.
Развитие облачных технологий открыло новые направления для атак:
- Компрометация учётных записей: потеря ключей root или admin может поставить под угрозу всю инфраструктуру.
- Атаки на цепочки поставок: по прогнозу Gartner, к 2025 году с такими угрозами столкнётся почти половина компаний.
- Злоупотребление легальными сервисами: например, вирус Denonia использовал AWS Lambda в качестве скрытого кластера для майнинга криптовалют.
Снизить риски и ущерб от таких атак помогают строгие политики Cloud IAM, многофакторная аутентификация, детальное ведение журналов и непрерывный мониторинг для выявления аномалий.
Методы и способы защиты информации
Современная стратегия кибербезопасности держится на нескольких фундаментальных подходах. Каждый закрывает свой участок риска, а в совокупности они выстраивают цельную архитектуру обороны.
Ключевые подходы к защите
| Подход | Суть подхода | Что даёт на практике |
|---|---|---|
| Многоуровневая защита (Defense in Depth) | Система строится слоями: сетевой экран, системы обнаружения и предотвращения вторжений (IDS/IPS), сегментация сети, контроль прав доступа, обучение персонала, планы реагирования на инциденты. | Даже если злоумышленник преодолеет один барьер, данные останутся защищёнными. |
| Минимальные привилегии | Пользователи, сервисы и приложения получают только те права, которые необходимы, и только на нужный срок. | Снижает риск злоупотреблений и перемещения злоумышленных действий по инфраструктуре (бокового перемещения). |
| Zero Trust | Любое обращение к ресурсам, даже внутри компании, проходит полную проверку и подтверждение полномочий. | Даже в случае утечки учётных данных злоумышленник не сможет свободно перемещаться по инфраструктуре. |
| Security by Design / Shift Left | Требования к безопасности включаются в процессы разработки программного обеспечения с первых этапов написания кода. | Уязвимости устраняются на ранних стадиях. Это позволяет снизить затраты на безопасность. |
| Threat Modeling | Команда заранее описывает архитектуру продукта, выявляет потенциальные угрозы и проектирует меры противодействия. | Безопасность интегрируется в жизненный цикл разработки продукта, а не добавляется в последнюю очередь перед выпуском. |
Концепции задают направление, но в ежедневной работе используются конкретные меры трёх уровней.
Уровни мер защиты информации
| Уровень | Роль в системе | Типовые инструменты |
|---|---|---|
| Административный | Формализует правила безопасности через политики, стандарты и обучение персонала. | Политика управления паролями, обязательное шифрование конфиденциальных файлов, многофакторная аутентификация для CRM‑систем. |
| Процедурный | Превращает правила в повседневные процессы и процедуры. | Аудит прав доступа, регулярное резервное копирование данных, закрытие учётных записей после увольнения сотрудников, процессы реагирования на инциденты. |
| Технический | Реализует защиту с помощью технических решений. | Сетевые экраны, EDR, PKI, DLP, SIEM с онлайн‑корреляцией событий. |
Помимо уровня, меры различаются по назначению: от профилактики до восстановления.
Классификация мер защиты по назначению
| Назначение | Роль | Пример |
|---|---|---|
| Превентивные | Предотвращают возникновение инцидентов. | Межсетевой экран блокирует нежелательный трафик. |
| Детективные | Выявляют угрозы и инциденты уже после их возникновения. | IDS фиксирует подозрительную активность в сети. |
| Корректирующие | Помогают восстановить работу после инцидентов. | Резервные копии данных позволяют восстановить информацию. |
| Сдерживающие | Отпугивают или сдерживают нарушителей. | Предупреждающие баннеры о мониторинге активности пользователей. |
| Компенсирующие | Страхуют систему, если основная мера не сработала. | Дополнительное журналирование частично заменяет шифрование данных. |
Сочетание уровней и назначений покрывает весь жизненный цикл атаки — от профилактики до восстановления — и воплощает принцип многоуровневой защиты.
Классификация и виды средств защиты информации (СЗИ)
Комплексная кибербезопасность строится на пяти основных классах решений. Каждый из них отвечает за отдельную область защиты: от сетевого периметра до шифрования данных, последовательно реализуя принцип многоуровневой защиты.
В таблице показываем, какие средства входят в каждый класс, какое их назначение и конкретная польза для инфраструктуры.
|
Класс решения |
Средство |
Что делает |
Как помогает |
|
Программные |
NGFW (Next‑Generation Firewall) |
Анализирует трафик по приложениям и контенту, проверяет TLS‑сессии |
Блокирует сложные сетевые атаки на границе сети и внутри сегментов |
|
WAF (Web Application Firewall) |
Фильтрует HTTP/HTTPS‑запросы, выявляет SQL- и XSS‑инъекции |
Защищает веб‑приложения и API до уровня бизнес‑логики |
|
|
EDR (Endpoint Detection and Response) |
Снимает данные (телеметрию) с устройств, выявляет аномалии |
Останавливает программы‑вымогатели и бесфайловые атаки, обходя стандартный антивирус |
|
|
XDR (Extended Detection and Response) |
Сопоставляет события с EDR, почты, сети и облачных сред |
Сокращает время обнаружения атак с недель до часов |
|
|
SIEM/SOAR |
Собирает журналы событий и автоматизирует реакцию на инциденты |
Уменьшает нагрузку на специалистов и ускоряет реагирование |
|
|
Программно‑аппаратные комплексы |
DLP (Data Loss Prevention) |
Контролирует перемещение конфиденциальных данных (USB, почта, SaaS) |
Предотвращает утечки и обеспечивает соответствие требованиям регуляторов |
|
UTM/NGFW‑аппараты |
Объединяют файрвол, IDS/IPS, VPN и контент‑фильтрацию |
Комплексное решение «всё в одном» для малого и среднего бизнеса, снижает расходы |
|
|
Экраны АСУ ТП/SCADA |
Поддерживают протоколы Modbus, OPC, DNP3, проверяют команды |
Защищают критическую инфраструктуру в сложных условиях (вибрации, температура, пыль) |
|
|
Аппаратные |
HSM (Hardware Security Module) |
Генерирует и хранит ключи внутри защищённого устройства |
Гарантирует защиту ключей по стандарту FIPS 140‑2 Level 3 |
|
Аппаратные NGFW/IPS |
Используют специализированные чипы ASIC для проверки трафика на высоких скоростях |
Обеспечивают производительность 40 Гбит/с без снижения скорости серверов |
|
|
Data Diode |
Однонаправленный канал передачи данных |
Исключает обратное проникновение в защищённые сети |
|
|
Почтовые/веб‑шлюзы |
Аппаратные решения с сертификацией ФСТЭК и ФСБ |
Создают защищённый периметр при отсутствии облачных решений |
|
|
Комплексные системы |
CNAPP (Cloud‑Native Application Protection |
Объединяет защиту инфраструктуры облачных приложений (CSPM, CWP, CIEM) |
Уменьшает ошибки настроек и улучшает взаимодействие между разработкой и безопасностью |
|
SASE (Secure Access Service Edge) |
Объединяет SD‑WAN и доступ по модели Zero Trust |
Политики безопасности следуют за пользователем, упрощая защиту филиалов |
|
|
MSSP/SOC‑as‑a‑Service |
Провайдер устанавливает датчики, мониторит и реагирует на угрозы 24/7 |
Полностью заменяет собственный центр мониторинга, снижая капитальные затраты |
|
|
Криптография |
PKI + TLS |
Выдаёт сертификаты, шифрует каналы связи |
Обеспечивает конфиденциальность и целостность передаваемых данных |
|
Шифрование хранилищ + KMS |
Шифрует данные на дисках, управляет ключами (BYOK/HYOK) |
Защищает данные при потере носителей и облегчает соответствие регуляторным требованиям |
|
|
Электронная подпись + SHA |
Подтверждает авторство документов и неизменность данных |
Защищает документы, программный код и обновления от подмены |
|
|
Пост‑квантовые алгоритмы |
Тестовые схемы криптографии, устойчивые к квантовым атакам |
Защищают важные данные от перспективных угроз, связанных с квантовыми компьютерами |
Системная сборка из таблицы формирует «луковичную» оборону: отказ одного слоя не ставит под угрозу всю инфраструктуру, а интеграция через API и Security as Code помогает безопасности развиваться с тем же темпом, что и DevOps‑процессы.
Команда Yandex Cloud Security
Разрабатываем сервисы информационной безопасности, охотимся за багами и изучаем уязвимости, чтобы их предотвращать. Помогаем данным в Yandex Cloud оставаться в безопасности.
Защита информации в облачных системах
Переход в облако не отменяет базовых принципов: по‑прежнему важны сегментация, минимальные привилегии и регулярный контроль. Главное отличие — встроенные инструменты и автоматизация: защита включается на всех этапах — от развёртывания сервисов до анализа инцидентов.
Методы и технологии защиты
Основные методы защиты в облачных системах можно разделить так:
- Zero Trust — каждый запрос проходит обязательную проверку, роли и права доступа регулярно актуализируются.
- Service Mesh с mTLS — сертификаты и взаимная аутентификация обеспечивают защиту трафика между микросервисами, не позволяя атакующим перемещаться дальше при взломе одного контейнера.
- Микросегментация — с помощью SDN или гипервизора сеть делится на небольшие зоны. По умолчанию внутренний трафик блокируется, а разрешённые соединения устанавливаются явно.
- CSPM — постоянный аудит конфигураций помогает обнаруживать открытые хранилища, лишние права доступа и другие риски ещё до их реализации.
- CWP/CAA — защита рабочих нагрузок через сканирование кода функций и образов контейнеров, проверку секретов и соблюдение политик безопасности.
- KMS — централизованное управление созданием и регулярной сменой ключей. Поддерживает сценарии BYOK и HYOK, снижая вероятность утечки данных.
- NDR‑сервисы — собирают и анализируют сетевые логи, например VPC Flow Logs, для выявления аномальной активности. Данные отправляются в системы SIEM или XDR.
- Security as Code — встроенные в CI/CD средства контроля предотвращают ошибки в конфигурации уже на стадии подготовки к развёртыванию.
Примеры облачных средств защиты
Ключевые методы защиты информации доступны в виде встроенных сервисов облачных платформ или решений сторонних разработчиков.
У этих подходов есть общие плюсы: они легко масштабируются при росте нагрузки, управляются через API и просто встраиваются в процессы разработки. Благодаря этому безопасность успевает за скоростью DevOps‑практик и не замедляет выход новых версий продуктов.
Вот несколько примеров таких решений:
-
BYOK‑KMS. Клиент сам создаёт основной ключ в собственном защищённом модуле, шифрует его ключом облачного провайдера и загружает в облачный сервис управления ключами. Облачный провайдер использует этот ключ для шифрования данных, но без владельца восстановить его не сможет. Подобный подход мы предлагаем в сервисе Yandex Key Management Service. Это помогает проще выполнять требования регуляторов: чтобы сделать данные недоступными, достаточно удалить ключ на своей стороне.
-
API‑WAF/API Security Gateway. Это решение проверяет API‑запросы на соответствие заранее заданным правилам и спецификациям. Например, Cloudflare API Shield сверяет запросы с описанием API и замечает необычное поведение. Такой подход предотвращает типичные атаки, например массовый перебор идентификаторов или использование несуществующих методов API.
-
Cloud NDR (Network Detection & Response). Инструменты этого класса анализируют сетевой трафик в облачной среде. Решения создают поведенческие модели на основе логов сетевого трафика и DNS‑запросов. Это позволяет выявить взломы паролей, ботнеты и несанкционированный майнинг криптовалют. Обычно встроенных решений с интеграцией в SIEM или XDR хватает, но есть и независимые аналоги, например Vectra и ExtraHop.
Чем облачные средства защиты информации отличаются от традиционных
Облачные средства защиты информации выполняют те же основные функции, что и классические решения, но отличаются подходом к распределению ответственности, масштабируемости и уровню интеграции. Показываем в таблице ключевые различия.
| Критерий | Облачные СЗИ | Традиционные СЗИ |
|---|---|---|
| Разделённая ответственность | Провайдер отвечает за физическую инфраструктуру, а клиент контролирует данные, приложения и гостевые ОС. | Организация самостоятельно контролирует всю инфраструктуру и защиту всех уровней. |
| Эластичность и автомасштабирование | Средства защиты автоматически масштабируются под растущую нагрузку. | Возможности масштабирования ограничены аппаратными ресурсами, при росте нагрузки быстро исчерпываются. |
| Security as Code и API‑доступность | Управление средствами защиты ведётся через API. Политики безопасности интегрируются в CI/CD, что позволяет автоматически реагировать на инциденты. | Управление чаще всего ручное или полуавтоматическое, интеграция в CI/CD и автоматическая реакция затруднены. |
| Сквозная интеграция сервисов | Инциденты автоматически передаются между облачными сервисами и оперативно обрабатываются. | Интеграция требует сложной ручной настройки и дополнительных ресурсов на поддержку взаимодействия различных решений. |
При грамотном подходе облачные средства защиты обеспечивают высокий уровень безопасности. Важно при этом чётко понимать границы ответственности и уметь управлять конфигурацией защиты через код.
Выбор и внедрение облачных средств защиты
При выборе облачных решений для защиты информации учитывают нормативные требования, бизнес‑риски и технические возможности. Вот ключевые критерии, которые помогут правильно подобрать решение и успешно его внедрить:
-
Функциональность и SLA. Решение должно эффективно защищать от заявленных угроз и иметь чёткие гарантии качества услуг.
-
Сертификации и соответствие стандартам. Для отраслей с высокими требованиями безопасности важны официальные сертификаты и соответствие стандартам. Например, защита платёжных данных по PCI DSS, а общая информационная безопасность по стандартам ISO 27001, ГОСТ 57580.
-
Интеграция в процессы DevOps. Средство защиты должно легко встраиваться в процессы разработки с помощью API, SDK и IaC. Важно, чтобы инструмент мог автоматически проверять код при каждом изменении и останавливать сборку, если найдены критические ошибки.
-
Совместимость и экосистема. В мультиоблачной или гибридной инфраструктуре решения должны поддерживать все используемые платформы.
-
Управляемость и качество оповещений. Решение должно эффективно фильтровать ложные срабатывания, иметь возможность гибкой настройки политик безопасности и интегрироваться с системами SIEM/SOAR. Важно, чтобы инциденты были чётко приоритизированы, а система позволяла выгружать подробные данные и настраивать исключения.
-
Стоимость и лицензирование. Модели оплаты могут быть фиксированными или зависеть от объёма трафика, количества узлов и событий. Следует учитывать и возможные скрытые расходы, например рост объёма логов при включении дополнительных функций. Предпочтительна прозрачная и гибкая модель, позволяющая легко перейти на другой тариф при изменении масштаба.
-
Пилотное внедрение и PoC. Тестовый период или демо‑стенд помогают оценить эффективность решения по всем критериям на практике. По итогам пилотного проекта уточняются настройки и принимается решение о полном внедрении.
-
Процесс внедрения. Переход на новые средства защиты лучше проводить поэтапно — например, сначала запустить мониторинг, затем настроить политики и только после этого включить блокировку угроз. Персонал обучается на тренингах или совместных сессиях с интеграторами. Процедуры реагирования адаптируются под модель разделённой ответственности, чётко фиксируя в документации зоны ответственности провайдера и команды.
Средства защиты в Yandex Cloud
Наша команда предоставляет встроенные облачные сервисы, решающие ключевые задачи информационной безопасности. Инструменты удобно интегрируются через API, поддерживают подход Infrastructure as Code (IaC) и реализуют принцип Zero Trust.
| Категория | Сервисы и решения | Описание |
|---|---|---|
| Управление доступом | Yandex Identity and Access Management, Yandex Identity Hub | Централизованное разграничение ролей, SSO и многофакторная аутентификация для всех ресурсов в облаке |
| Мониторинг и реагирование | Yandex Cloud Detection and Response, Yandex Security Deck, Yandex Audit Trails | SOC‑платформа, CIEM‑аналитика и детальная аудит‑журнализация для быстрого обнаружения и устранения инцидентов |
| Безопасность приложений | Yandex Smart Web Security, Yandex SmartCaptcha | Защита веб‑трафика (WAF, DDoS‑фильтрация) и противодействие автоматическим бот‑атакам на формы |
| Безопасная разработка | Yandex Container Registry, Yandex Cloud Registry | Хранение артефактов с автоматическим сканированием образов на уязвимости и проверкой зависимостей |
| Безопасность данных | Yandex Key Management Service, Yandex Lockbox, Yandex Certificate Manager | Аппаратное шифрование ключей, безопасное хранение секретов и управление TLS‑сертификатами для защиты данных в транзите и покое |
Сертификация и требования к средствам защиты информации
Регулируемые отрасли не могут внедрять СЗИ без подтверждённого соответствия нормативным требованиям.
Основные стандарты и сертификации
|
Категория |
Стандарт / сертификация |
Краткое содержание |
|
Российские стандарты |
ГОСТ Р 57580 |
Национальный стандарт безопасности банковских и финансовых операций. Обязателен для всех кредитных и некредитных финансовых организаций. |
|
152‑ФЗ |
Федеральный закон, регулирующий обработку персональных данных. Платформа обеспечивает первый уровень защищённости ПД (УЗ‑1). |
|
|
РПО |
Единый реестр российских программ для ЭВМ и баз данных. |
|
|
Международные стандарты |
ISO/IEC 27001 / 27017 / 27018 / 27701 |
Система управления информационной безопасностью и специальные дополнения для облачных сервисов и защиты персональных данных. |
|
ISO/IEC 15408 (Common Criteria) |
Международная оценка IT‑продуктов по уровням гарантии (EAL). Упрощает госзакупки и поставки в критические отрасли. |
|
|
PCI DSS |
Стандарт безопасности платёжных карт. Определяет требования к файрволам, IDS, шифрованию и регулярному сканированию для систем, работающих с карточными данными. |
|
|
Отраслевые профили |
GDPR |
Общий регламент ЕС по защите данных. Определяет правила сбора, хранения и обработки персональных данных физических лиц в Европейской экономической зоне. |
|
Cloud Security Alliance (CSA STAR) |
Требования программы Security, Trust, Assurance and Risk (Level 1 — Self‑Assessment). Yandex Cloud размещён в публичном реестре CSA STAR. |
Внедрение сертифицированных СЗИ включает обязательную проверку сертификатов и документации, пилотное развертывание, аттестацию и регулярный аудит.
Соблюдение сертификационных требований защищает данные и снижает юридические риски, исключая формальный подход, который может привести к штрафам и запретам на эксплуатацию.
