О региональных программах нормативного соответствия IBM Cloud

При переносе ИТ-инфраструктуры в облачную среду руководители международных организаций сталкиваются с проблемой растущего числа региональных стандартов безопасности. Услуги платформы IBM Cloud™ могут помочь вам обеспечить соответствие этим региональным стандартам.

Азиатско-Тихоокеанский регион

FISC (Япония)

Центр информационных систем в сфере финансовых услуг (FISC) был создан министерством финансов Японии для исследования информационных систем, используемых японскими финансовыми учреждениями. FISC разработал рекомендации по повышению безопасности информационных систем в банковской и финансовой сфере. Рекомендации FISC не обязательны для исполнения, однако большинство японских финансовых организаций следует им при разработке и обслуживании своих информационных систем.

IRAP (Австралия)

Программа зарегистрированных специалистов по оценке информационной безопасности (IRAP) — это инициатива Управления радиотехнической обороны Австралии, направленная на предоставление высококачественных услуг в сфере информационных технологий и связи правительству Австралии в интересах государственной безопасности. В рамках IRAP действует программа сертификации физических лиц и организаций, оказывающих услуги по оценке информационной безопасности государственным учреждениям в Австралии.

K-ISMS (Южная Корея)

Система управления информационной безопасностью Кореи (K-ISMS) — это поддерживаемая государством программа сертификации, реализуемая при поддержке Корейского агентства по Интернету и безопасности (KISA). Система сертификации K-ISMS предназначена для оценки корпоративных систем управления информационной безопасностью с точки зрения требований к развертыванию, управлению и эксплуатации. Наличие этого сертификата упрощает демонстрацию соблюдения требований местного законодательства в сфере защиты основных цифровых информационных ресурсов, а также стандартов соответствия KISA для клиентов в Южной Корее, которые используют инфраструктуру IBM Cloud.

Просмотреть сертификат K-ISMS для инфраструктурных услуг IBM Cloud на английском языке (PDF, 317 КБ)

Просмотреть сертификат K-ISMS для инфраструктурных услуг IBM Cloud на корейском языке (PDF, 280 КБ)

Логотип ISMS

MTCS (Сингапур)

Стандарт многоуровневой облачной безопасности (MTCS), известный также как Стандарт Сингапура SS 584, предназначен для поставщиков, предоставляющих облачные услуги в Сингапуре.

Для того чтобы запросить сертификат инфраструктурных услуг IBM Cloud:  посетите портал для клиентов (внешняя ссылка)

Закон об идентификационных номерах (Япония)

Система номеров социального обеспечения и налогоплательщиков (My Number Act) действует в Японии с января 2016 года. Данный закон предполагает присвоение уникального номера каждому жителю Японии (включая граждан Японии и иностранцев) в целях налогообложения и социального обеспечения.  Комиссия по защите персональных данных (PPC) разработала рекомендации по обработке и защите идентификационных номеров для организаций.

Логотип My Number Act

Европа и Великобритания

BaFin (Германия)

Федеральное управление финансового надзора Германии (BaFin) отвечает за управление всеми организациями, предоставляющими финансовые услуги в Германии. Этот федеральный орган опубликовал спецификацию для нормативной базы в отношении облачных услуг, предоставляемых организациям в финансовой сфере.

C5 (Германия)

Cloud Computing Compliance Controls Catalog (C5) Федерального управления по информационной безопасности Германии (BSI) представляет собой программу аттестации поставщиков облачных услуг. Эта программа устанавливает минимальные требования к безопасности облачных услуг, предоставляемых поставщиками. C5 устанавливает высокий стандарт соответствия для поставщиков облачных услуг на основе общепринятых стандартов безопасности (ISO 27001) и дополнительных требований в отношении прозрачности обработки данных.

Для того чтобы запросить программу аттестации C5 для инфраструктурных услуг IBM Cloud: посетите портал для клиентов (внешняя ссылка)
Связаться с представителем IBM

Европейская служба банковского надзора — EBA (ЕС)

Европейская служба банковского надзора (EBA) в рамках своей миссии по установлению последовательных, эффективных и рациональных правил и методов надзора на территории ЕС и обеспечению единообразного применения законодательства ЕС издает нормативные акты и рекомендации в сферах своей компетенции.

Узнайте, как платформа IBM Cloud поддерживает рекомендации EBA (PDF, 1,5 МБ)

ENISA IAF (ЕС)

Европейское агентство по сетевой и информационной безопасности (ENISA) разработало Платформу информационных гарантий (IAF) — набор критериев для оценки риска внедрения облачных услуг, сравнения предложений разных поставщиков облачных услуг, получения гарантий от выбранных поставщиков облачных услуг и уменьшения связанных с этим издержек.

ENS (Испания)

Национальная платформа безопасности Испании (ENS) — указ, содержащий положения касательно безопасности, применимые ко всем государственным административным органам в Испании. ENS устанавливает политику безопасности для электронных государственных услуг. В этом стандарте определены базовые принципы и минимальные требования для обеспечения надлежащей защиты информации, которых должны придерживаться все государственные административные органы.

Просмотреть сертификат ENS высокого уровня для инфраструктурных услуг IBM Cloud (PDF, 704 КБ)

Услуги на базе платформы IBM Cloud с сертификатом ENS высокого уровня:

IBM Cloud Bare Metal
IBM Cloud Block Storage
IBM Cloud Direct Link
IBM Cloud File Storage
IBM Cloud Hardware Security Module
IBM Cloud Object Storage (IaaS)
Виртуальные серверы IBM Cloud

Сертификат ENS (Испания)

Положения модели ЕС

Положения модели ЕС доступны контролерам и обработчикам персональных данных граждан Евросоюза. Эти положения обязывают компании, зарегистрированные за пределами ЕС, соблюдать законы и нормы Директивы ЕС о защите данных по всему миру. Положения модели предоставляют методы защиты прав и гарантируют организациям, в распоряжении которых находятся персональные данные граждан ЕС, что поставщики услуг, находящиеся за пределами ЕС, будут обрабатывать данные только в соответствии с их инструкциями и с соблюдением законов ЕС. В мае 2018 года на смену Директиве ЕС о защите данных пришел Общий регламент по защите персональных данных (GDPR).

EU-US Privacy Shield

Министерство торговли США, Европейская комиссия и Федеральная администрация Швейцарии разработали систему норм Privacy Shield Framework, действующую между ЕС и Швейцарией с одной стороны и США с другой стороны. Эти нормы дают компаниям по обе стороны Атлантического океана возможность обеспечить соблюдение требований в сфере защиты персональных данных при передаче персональных данных из ЕС и Швейцарии в США в рамках трансатлантической торговли.

Просмотреть политику IBM и список услуг IBM Cloud с сертификатом Privacy Shield

GDPR (ЕС)

В соответствии с Общеевропейским регламентом по защите данных (GDPR) компания IBM расширяет свою постоянную нацеленность на внедрение механизмов защиты конфиденциальных данных еще на этапе проектирования. IBM прилагает все усилия для интеграции принципов защиты данных в свои бизнес-процессы. Кроме того, это позволяет усилить существующие механизмы контроля с целью ограничения доступа к личным данным, включая мобильные приложения, использующие стандартные настройки, для предотвращения передачи личных данных.

Подробнее о программе IBM GDPR Framework

G-Cloud (Великобритания)

Правительство Великобритании разработало систему норм G-Cloud, чтобы помочь государственным организациям Великобритании ускорить и удешевить процесс заключения договоров снабжения с поставщиками облачных услуг. Услуги G-Cloud разделяются на три категории: облачный хостинг, облачное программное обеспечение и облачная поддержка.

Hébergeurs de Données de Santé — HDS; размещение медицинских данных (Франция)

Стандарт размещения медицинских данных (HDS) описывает условия защиты персональных медицинских данных, которые были первоначально собраны во Франции. Серверы данных должны включать меры по обеспечению безопасности, соответствующие степени важности данных.

Любое физическое или юридическое лицо, размещающее персональные медицинские данные, собранные во Франции, должно получить соответствующее разрешение или сертификат.

Просмотреть сертификат HDS для инфраструктурных услуг IBM Cloud (PDF, 448 КБ)

IT-Grundschutz (Германия)

Цель IT-Grundschutz состоит в обеспечении надлежащего уровня защиты для любых типов информации в организации. Реализуя целостный подход, IT-Grundschutz предоставляет рекомендации для применения технических, организационных, кадровых и инфраструктурных мер защиты.

Директива NIS (ЕС)

Директива ЕС в области сетевых и информационных систем (NIS) 2016/1148 — первый закон о кибербезопасности, охватывающий все страны Европейского Союза и предназначенный для повышения общего уровня кибербезопасности критической инфраструктуры на территории ЕС.

IBM применяет стандартные технические и организационные меры, необходимые для управления рисками безопасности в сетевых и информационных системах. К ним относятся программа мониторинга безопасности и глобальная система реагирования на киберугрозы и атаки. Кроме того, IBM использует комбинацию онлайн-курсов, образовательных инструментов, видеоматериалов и прочих инициатив, нацеленных на повышение ответственности и осведомленности в сфере безопасности среди персонала.   Более подробная информация об этих технических и организационных мерах приведена в сертификатах IBM и аудиторских отчетах, таких как ISO 27001 и SOC 2.

 

США

FERPA

Безопасность играет важнейшую роль в соблюдении требований закона Family Educational Rights and Privacy Act (FERPA), требующего защиты информации студентов от несанкционированного раскрытия. Образовательным учреждениям, пользующимся облачными технологиями, нужны контрактные гарантии того, что поставщик технологий будет соблюдать нормы в сфере обработки конфиденциальных данных учеников и студентов.