Yandex.DataLens - Администрирование и безопасность
Администрирование прав доступа к сервису Yandex DataLens регулируется путем назначения прав:
- для экземпляра DataLens на уровне организации — через сервис организации;
- для экземпляра DataLens на уровне каталога облака — через консоль Yandex Cloud.
Чтобы предоставить доступ, назначьте пользователю одну из ролей DataLens.
Разграничение прав доступа в сервисе реализовано на уровне объектов и папок. На каждый объект и папку можно назначать пользователю права доступа, которые определяют допустимые операции. По умолчанию объекты наследуют права родительской папки. Можно предоставить пользователю доступ к папке или к любому объекту сервиса: подключение, датасет, чарт, дашборд. Также пользователь может запросить права доступа самостоятельно через форму запроса.
Пользовательские роли
- Пользователь с правом доступа «Просмотр» может просматривать дашборды, виджеты, датасеты и папки.
- Пользователь с правом доступа «Редактирование» может изменять дашборды, виджеты, подключения, датасеты и папки. Право доступа Редактирование включает в себя все разрешения права доступа Просмотр.
- Пользователь с правом доступа «Администрирование» может изменять доступные объекты и папки, изменять права доступа. Право доступа Администрирование включает в себя все разрешения права доступа Редактирование.
Управление доступом на уровне строк данных (RLS)
RLS (Row-level security — безопасность на уровне строк) позволяет ограничить доступ к данным для пользователей в рамках одного датасета. Например, вы можете разграничить доступ разным клиентам.
Pазграничить доступ к данным на уровне строк можно как в датасете, так и в источнике данных.
Вы можете разграничить доступ к любому измерению датасета. Каждому пользователю могут быть выданы права на неограниченное количество значений измерений.
В RLS поддерживается разграничение доступа только для строковых значений.
Безопасность Yandex Cloud
Yandex Cloud соответствует требованиям ФЗ 152 и индустриальных стандартов
- 152-ФЗ
Платформа Yandex Cloud имеет аттестат соответствия ИСПДн требованиям безопасности информации и персональных данных. Аттестат подтверждает, что платформа полностью выполняет все требования ФЗ-152, постановления правительства № 1119 и Приказа ФСТЭК № 21 и обеспечивает первый уровень защищенности обрабатываемых персональных данных (УЗ-1).
- GDPR
Общий регламент о защите данных (General Data Protection Regulation, GDPR) регулирует сбор и обработку персональных данных (ПД) физических лиц, находящихся в Европейской экономической зоне. Он призван усилить защиту ПД и сделать прозрачными их сбор, хранение и обработку.
- Стандарты ISO
Чтобы обеспечить безопасность систем и данных, которые клиенты размещают на платформе Yandex Cloud, система управления информационной безопасностью (СУИБ) построена в соответствии с высокими требованиями стандартов международной организации по стандартизации (ISO). Аудит СУИБ Yandex Cloud проводила международная команда аудиторов компании BSI. По результатам аудита получены сертификаты соответствия стандартам ISO 27001, ISO 27017 и ISO 27018.
- PCI DSS
PCI DSS содержит набор требований для защиты данных держателей карт. Требования обязательны и распространяются на все компании, обрабатывающие данные платёжных систем Visa, MasterCard, American Express, JCB, МИР и др.
- ГОСТ Р 57580.1‑2017
ГОСТ Р 57580 — это национальный стандарт безопасности банковских и финансовых операций. Стандарт был введен в действие 1 января 2018 года и стал обязательным для всех кредитных и некредитных финансовых организаций.
Соответствие сервисов облачной платформы требованиям данного стандарта помогает организациям, размещающим в облаке свои системы и приложения, выполнить требования Центрального Банка и обеспечить соответствие стандарту на стороне своих систем, работающих в облаке.
- Cloud Security Alliance
Платформа Yandex Cloud является корпоративным членом Cloud Security Alliance — международной организации, целью которой является разработка и повышение осведомленности о лучших практиках информационной безопасности для облачных сервисов.
Yandex Cloud выполняет требования программы Security, Trust, Assurance and Risk (STAR) по уровню Level 1: Self-Assessment.
- Реестр программного обеспечения
Платформа Yandex Cloud включена в реестр программного обеспечения, созданный в соответствии со статьей 12.1 Федерального закона «Об информации, информационных технологиях и о защите информации», по основному классу 02.05 «Средства обеспечения облачных и распределенных вычислений, средства виртуализации и системы хранения данных» и дополнительным классам 02.09 «Системы управления базами данных», 04.07 «Лингвистическое программное обеспечение», 04.13 «Системы сбора, хранения, обработки, анализа, моделирования и визуализации массивов данных».
Yandex Cloud обеспечиваем безопасность облачной инфраструктуры с разных сторон
Физическая безопасность
- Все зоны доступности Yandex Cloud имеют сертификат соответствия требованиям PCI DSS.
- На объектах ведётся постоянное видео наблюдение.
- Аппаратные ресурсы Yandex Cloud располагаются в собственных дата-центрах на территории Российской Федерации, связанных собственными каналами связи.
- Доступ на территорию дата-центров строго регламентирован и требует заранее согласованной заявки для гостей и сотрудников Yandex Cloud, которые не работают в дата-центрах на постоянной основе.
- Дополнительные меры защиты применятся в части хранения, уничтожения и доступа к носителям данных.
Мониторинг
Операционный центр безопасности (Security Operations Center, (SOC) Яндекса обеспечивает круглосуточный мониторинг облачной платформы. Логи, собираемые с различных компонентов инфраструктуры, передаются в SIEM-систему. Туда же передаются срабатывания различных средств защиты, контролирующих безопасность операционных систем физических серверов, баз данных, сети и других инфраструктурных сервисов платформы. Автоматическая корреляция событий вместе с действиями аналитиков SOC позволяют на ранних этапах идентифицировать нарушение безопасности и своевременно принять меры.
Защита данных
Владельцем данных, размещенных в облаке, всегда является пользователь облачной платформы. Yandex Cloud не использует данные клиентов, размещенные на ресурсах платформы, иным образом, кроме как для выполнения целей договора и уведомляет клиента о всех инцидентах, затрагивающих пользовательские данные клиента, за исключением случаев, когда обратное установлено применимым законодательством или договором.
Разделение ответственности за обеспечение безопасности
Безопасность систем, использующих облачные сервисы, требует разделения ответственности между клиентом — владельцем конечной системы и провайдером — владельцем облачной инфраструктуры, используемой конечной системой. В зависимости от модели облачных сервисов, используемой клиентской системой (IaaS, PaaS), данное разделение меняется.