Google Workspace: відповідність нормам та законність використання

​​Мільйони компаній, учбових закладів та урядових організацій по всьому світі довіряють інноваційним технологіям Google. В більшості випадків інформація зберігається у хмарі і відповідно до цього клієнтам надважливо бути впевненими в тому, що дані під надійним захистом від втрати та витоку. А ще хвилюють питання щодо нормативних вимог та законності використання, на які спробуємо дати вичерпні відповіді.

Що таке громадська хмара?

Громадська хмара — це модель розгортання хмари, в рамках якої постачальник послуг володіє та керує обчислювальними ресурсами, які використовуються багатьма організаціями одночасно через Інтернет. Серед найпопулярніших постачальників хмарних послуг Google Cloud, Microsoft а також Dropbox або Amazon.

Якщо ви ще не використовуєте будь-яку технологію хмарних обчислень у своїй компанії, дізнайтесь більше про це у нашому блозі:

• Google Диск – ефективна та безпечна робота з документами в хмарі
• Gmail для бізнеса – все, що вам потрібно знати перед впровадженням

Однією із служб, які надають як хмарний простір для даних, так і весь набір веб-застосунків для обробки даних, є Google Workspace (раніше G Suite).

Google Workspace (раніше G Suite) – супер безпечне середовище!

Нагадаємо, що Google Workspace (раніше G Suite) – універсальний пакет офісних програм, створених на основі надійного поштового сервісу Gmail. Він включає облікові записи електронної пошти, текстовий месенджер Google Chat, сервіс для відеоконференцзв’язку Google Meet, Google Календар, текстовий редактор Google Документи, електронні таблиці Google Sheets, презентації Google Slides, форми для опитувань Google Forms та майстер веб-сайтів від Google Sites, а також містке хмарне сховище даних для бізнесу Google Drive. Тобто майже всі дані компанії знаходяться у захищеному й надійному середовищі, яке відповідає всім нормативним вимогам. Відповідно до цього інфраструктура компанії Google займає лідируючі позиції у світі з надійності та безпеки, над системами захисту клієнтської інформації працювало понад 700 штатних фахівців, у тому числі світові експерти з комп’ютерної безпеки. 

Фахівці Google неодноразово підкреслювали, що використання передових технологій та знань має величезне значення у створенні інфраструктури, додатків, програмного забезпечення у хмарі, що одночасно безпечні та масштабовані. Звичайно, те саме стверджують й інші постачальники, проте ми прагнемо, щоб механізми безпеки та конфіденційності були максимально прозорими й зрозумілими для клієнтів.

Завдяки цьому служби ідеально підходять клієнтам, для яких важлива відповідність стандартам і нормативним вимогам. Наші угоди передбачають жорсткі договірні зобов’язання щодо права власності на дані, їх використання, безпеку, прозорість та підзвітність.

Систему Google регулярно перевіряють кілька незалежних компаній. Ці сторонні фахівці аналізують і оцінюють наші методи захисту центрів обробки даних, інфраструктури й робочих процесів на відповідність. Ми піднімаємо тему відповідності Google Workspace (раніше G Suite) застосовним нормам, оскільки як офіційний партнер Google часто отримуємо питання, пов’язані з цією проблемою. Хочемо вас запевнити: юридичних обмежень на використання Google Workspace у бізнесі немає і він підходить для всіх. Інструменти від Google допомагають клієнтам уникнути ризиків та мають міжнародні сертифікати безпеки.

То що змушує процеси обробки даних у компанії виходити з-під контролю?

Межі між тим, що дозволено, і тим, що потрапляє до небезпечних зон, визначені багатьма європейськими, місцевими та спеціалізованими правовими нормами. Тому важливо знати основні фактори ризику:

• Невірно структурований контракт між постачальником хмарних послуг та контролером даних.
• Неправильна конфігурація сервісу.
• Помилка користувача.
• Хакерська атака, шкідливе програмне забезпечення.
• Помилка, атака, крадіжка або випадкова аварія можуть спричинити витік даних як у приватній, так і в громадській інфраструктурі, тому використовуйте всі доступні превентивні заходи.

Як зберегти контроль над своїми даними в хмарі?

Найбільший сумнів серед підприємців, котрі розглядають можливість використання хмарних обчислень на аутсорсингу, викликає очевидно відсутність контролю. Брак інформації про операції, що виконуються у хмарі, є величезним ризиком, особливо для компаній з медичної та фінансової галузей.

Компаніям, які мають особливі потреби з контролю цифрової обробки конфіденційних даних, слід звернути особливу увагу на положення договору, укладеного з постачальником, вже на етапі узгодження умов із постачальником. Вибору постачальника повинен передувати детальний аналіз юридичних вимог, застосування до контролера даних і оцінка того, чи відповідатиме їм обрана послуга. Звертайте особливу увагу на:

• Розташування сервера, тобто регіони обробки даних.
• Положення про обмін даними із субпідрядниками постачальника хмарних послуг.
• Процедури ефективного видалення даних.
• Можливість відновлення та архівування даних.

Але питання безпеки обробки цифрових даних, яке ми вирішимо у контракті, – це лише початок. Також необхідно вжити відповідних дій з боку постачальника послуг та контролера даних.

Культура безпеки в Google

Щоб підтримувати безпеку даних у хмарі, необхідно контролювати процеси, що відбуваються всередині організації, яка обробляє дані. Як Google піклується про свою внутрішню безпеку? Ось деякі елементи їхньої стратегії:

• Ретельна перевірка минулого співробітників.
• Регулярне навчання співробітників техніки безпеки.
• Команда фахівців з безпеки та конфіденційності.
• Аудит внутрішньої безпеки та відповідності.
• Тісна співпраця із спільнотою дослідників цифрових загроз.

Захист від шкідливих програм

Google використовує різні антивірусні движки для виявлення та нейтралізації загроз у електронній пошті Gmail, Google Диску, а також у його серверних кімнатах та робочих станціях.

Шифрування даних

Дані клієнтів Google Workspace шифруються як під час зберігання, так і при передачі. Найновіші криптографічні рішення захищають файли, повідомлення електронної пошти, історію чатів та інші дані, згідно із нашою діяльністю у програмах.

Доступність послуги

Один із ризиків використання зовнішніх серверів – це ризик збою та недоступності даних. Навіть короткочасні перебої у доступі до хмарного сервісу можуть суттєво порушити роботу компанії, тому варто довіряти постачальникам із великим досвідом у цьому питанні.

За останні роки доступність Gmail становила 99,984%. Технічне обслуговування, оновлення та зміни, внесені до сервісів Google, плануються таким чином, щоб не вплинути на взаємодію користувача.

Відповідність міжнародним стандартам

Відповідно до передового галузевого досвіду, сервіси Google Workspace відповідають суворим стандартам безпеки та вимогам щодо конфіденційності даних. Угоди з Google чітко визначають права власності на дані, умови їх використання, зобов’язання щодо безпеки та прозорості та межі відповідальності сторін, а наші інструменти допомагають клієнтам дотримуватися вимог та створювати звіти.

Сертифікати зовнішньої безпеки

ISO 27001

ISO 27001 – один із найбільш визнаних стандартів безпеки. Google отримав його за системи, технології, процеси та центри обробки даних, які підтримують Google Workspace.

Переглянути сертифікат

ІSO 27017

ISO 27017 – міжнародний стандарт інформаційної безпеки у хмарних сервісах.

Переглянути сертифікат

ISO 27018

ISO 27018 – міжнародне підтвердження захисту даних, яке може бути використане для ідентифікації особи.

Переглянути сертифікат

SOC 2, SOC 3 та FedRAMP

Крім міжнародних сертифікатів, Google також успішно пройшов перевірки безпеки та аудит американської влади, яка готує звіти SOC (Service Organization Controls) та FedRAMP (Federal Risk and Authorization Management Program).

Параметри адміністрування, що впливають на відповідність Google Workspace нормативним вимогам

Google вживає заходів для забезпечення захисту даних, які він обробляє від імені своїх клієнтів. Однак саме компанії, які використовують хмару, залишаються контролерами даних та несуть за них відповідальність. Ось чому Google забезпечив відповідальних, які керують екземпляром Google Workspace (раніше G Suite),  інструментами, які спрямовані налаштувати рівень захисту відповідно до індивідуальних потреб компанії.

Авторизація користувача

Дані компанії, що зберігаються у хмарі, доступні на будь-якому пристрої, з якого підключається співробітник. Тому адміністраторам Google Workspace слід приділяти пильну увагу авторизації доступу до облікових записів. Інструменти, які стоять на варті безпеки даних:

• Двоетапна перевірка – адміністратор може змусити додатковий елемент брати участь під час входу до системи, що захищає обліковий запис від злому.
• Ключі безпеки – пристрої U2F є розширеним варіантом двоетапної аутентифікації, відповідно до якої у користувача повинен бути фізичний ключ, щоб отримати доступ до входу в систему.
• SAML 2.0 – згідно із Sign – на – Single Sign-On це послуга, яка дозволяє отримати доступ до кількох програм за допомогою облікового запису Google.
• Протоколи OAuth 2.0 та OpenID Connect дозволяють використовувати єдиний вхід у різних хмарних рішеннях.

Керування даними

• Безпека IRM ( керування правами на інформацію ) – дозволяє адміністраторам блокувати копіювання, друк та завантаження будь-якого файлу на Google Диску.
• Журнал аудиту Google Диску – моніторинг активності користувачів в домені. Дозволяє адміністраторам перевіряти журнали змін, внесених до файлів, які зберігаються у робочих облікових записах Google.
• Персоналізовані оповіщення системи безпеки повідомляють адміністраторам про всі підозрілі дії на Google Диску. Наприклад, попередження може повідомити адміністратора, якщо файл зі словом “конфіденційний” у заголовку стане загальнодоступним за межами домену.
• Довірені домени – адміністратори можуть створити білий список доменів, на які не впливатимуть перешкоди, пов’язані з зовнішнім доступом до файлів.

Безпека електронного листування

• Додаткове шифрування – адміністратор Google Workspace може примусово шифрувати електронні листи, надіслані до певного домену або з певного домену, з використанням протоколу TLS (безпека транспортного рівню).
• Захист від фішингу – шахраї намагаються видати себе за довірені домени через листи, надислані електронною поштою, щоб вкрасти конфіденційну інформацію. Gmail у Google Workspace підтримує розширену перевірку відправника завдяки записам DMARC та SPF та ключам DKIM та блокує понад 99,9% атак.
• Запобігання втраті даних у Gmail. Система DLP у Gmail сканує вхідний та вихідний поштовий трафік на наявність конфіденційного вмісту.
• Правила обробки суперечливого змісту. Адміністратор Google Workspace може налаштувати правила для автоматичного відхилення, розміщення в карантин або відкликання повідомлень, за певними ключовими словами.
• Обмеження обміну повідомленнями – адміністратор може дати доступ до листування з обраними доменами.

Архівування під час розгляду доказів

Google Workspace (раніше G Suite) у варіантах Business Plus та Enterprise надає компаніям інструмент, корисний у разі виявлення електронних даних. Google Vault – це служба для архівування, зберігання, пошуку та експорту даних з інших програм Google.

• Правила зберігання поштового архіву – адміністратор може встановити будь-які правила зберігання пошти для всього домену. Такі повідомлення лишаються в архіві навіть після того, як користувач видалить їх зі своєї поштової скриньки.
• Пошук на Диску та Gmail в домені. За допомогою Google Vault адміністратор може шукати по всьому домену Google Workspace (раніше G Suite), включаючи вміст робочого листування.
• Експорт доказів – Google Vault допомагає збирати та експортувати докази у вигляді файлів, електронних листів або історії чатів, які компанія хоче надати правоохоронним органам.

Безпека кінцевих точок

• Управління мобільними пристроями. Кожен пристрій, який має доступ до даних компанії, призначається у консолі адміністратора. Згідно із цим адміністратор швидко реагує на крадіжку пристрою або підозрілу активність.
• Безпека перегляду Chrome – адміністратор може встановити правила для входу користувача до браузера.
• Керування пристроями на базі Chrome OS – ноутбуки або обладнання для відеоконференцій з операційною системою Chrome та ліцензіями Chrome Enterprise повністю контролюються адміністратором Google Workspace (раніше G Suite).

Відновлення даних

• Відновлення віддаленого облікового запису Google – адміністратор може відновити будь-який обліковий запис користувача Google Workspace (раніше G Suite) протягом 5 днів після його видалення.
• Відновлення даних Google Диску та Gmail – листування Gmail та файли, що зберігаються на Google Диску, можуть бути відновлені адміністратором протягом 25 днів з моменту, коли користувач видалив їх зі свого облікового запису.

Центр безпеки

Адміністратори Google Workspace у пакеті Enterprise також мають доступ до універсального інструменту захисту та аналізу загроз. У центрі безпеки можна:

• Створювати звіти про безпеку, які показують поточну конфігурацію та вказують методи налаштування безпеки відповідно до найкращих рекомендацій Google.
• Виявити та згрупувати проблеми безпеки та конфіденційності у вашому домені.
• Слідкувати за незвичайними подіями на прозорій панелі інструментів.

Резюмуючи все вищезазначене, хотілося б підкреслити важливість аналізу правових норм та оцінку ризиків перед вибором відповідного хмарного сервісу. Наприклад, якщо ваша компанія має зберігати дані в архіві протягом певного періоду часу для перевірки, вам підходить Google Workspace у версії Business Plus. З іншого боку, якщо вам потрібний розширений моніторинг підозрілих дій і у вашій команді є досвідчені системні адміністратори, ви можете розкрити весь потенціал хмари за допомогою пакету Enterprise.

Зв’яжіться з нами для отримання детальної інформації щодо актуальних пропозицій та діючих знижок – ми з задоволенням дамо відповіді на всі питання!