Проверили сами себя. Как hoster.by аттестовывал свою систему защиты информации
Закон о персональных данных ушел из заголовков, но не из реальности. Собственники бизнеса опасаются проверок и подсчитывают, во сколько им может обойтись аттестация у стороннего подрядчика. У hoster.by особая история — так получилось, что сначала компания аттестовала сама себя, а потом начала предоставлять эту услугу рынку. Почему процесс аттестации растянулся на полгода вместо «пары месяцев», какие сложности возникали на разных этапах проекта и где можно подстелить себе соломку, рассказывает эксперт по информационной безопасности Дмитрий Таран.
Процесс аттестации — это вершина «айсберга». И перед получением аттестата необходимо пройти весь путь — проектирование, создание и аттестацию систем защиты информации.
Задолго до вступления в силу Закона о персональных данных существовали другие нормативные акты в области защиты информации. У hoster.by внушительная база в 150 000 клиентов, которые покупают домены, хостинг, облака и администрирование. Компания хранит и обрабатывает терабайты данных, включая персональные. Для их безопасности и соблюдения требований законодательства провайдер инициировал аттестацию систем защиты информации, вспомнить о которой сейчас как никогда актуально.
Чем это грозит компании, которая не успела пройти аттестацию?
Национальный центр защиты персональных данных уже сейчас проводит проверки бизнеса. Любой человек, который посчитает, что его права по защите данных нарушены, может обратиться туда с заявлением, и тогда компанию могут проверить. За нарушение закона установлена ответственность, как гражданско-правовая, дисциплинарная, административная, так и уголовная ответственность. Компанию могут оштрафовать и наложить другие санкции вплоть до приостановки работы системы, в которой обрабатываются и хранятся персональные данные.
Для получения аттестата у нашей компании было несколько путей:
Самостоятельно пройти аттестацию.
Заказать услугу аттестации у профильной организации, которая имеет на это лицензию.
Мы выбрали первый вариант — аттестовать себя самостоятельно. Как это было?
Для начала мы определили рабочую группу проекта. В нее вошли специалисты по информационной безопасности, сопровождению инфраструктуры, админы по средствам защиты, среде виртуализации и сети. Для размещения данных выбрали облачную платформу, потому что это гибкое и удобное решение. На реализацию проекта заложили предварительно 3 месяца. Стартовали с самостоятельного аудита систем, где должны храниться персональные данные. После этого подготовили документ «Задание по безопасности», в котором расписали все требования по обеспечению безопасности информации в системе защиты.
В документе были зафиксированы все правила по:
антивирусной, сетевой и парольной защите;
разделению доступа пользователей;
логированию событий безопасности;
резервному копированию;
требованиям к виртуальной инфраструктуре и другие.
Именно на основании этого документа и закупались средства защиты, настраивались и внедрялись политики, например, для антивирусного программного обеспечения, межсетевого экрана и другие.
Неожиданный вызов, с которым столкнулись, — сертификация программного продукта среды виртуализации. Этот процесс мы изначально не закладывали в роадмап. Таким образом процесс аттестации для нас растянулся еще на три месяца, пока не был получен заветный сертификат.
После завершения всех настроек обязательный этап аттестации — проведение анализа защищенности всех компонентов системы.
И в итоге — на руках долгожданный аттестат! В результате процесс аттестации для hoster.by занял полгода.
Столкнувшись со всеми подводными камнями лично, сейчас та же проектная команда работает над задачами клиентов по аттестации максимально слаженно и гладко.
Решение для малого и среднего бизнеса от 1800 BYN
После выхода Закона защита персональных данных просто необходима любому бизнесу — от небольших интернет-магазинов и ритейла до финансового сектора. Когда процесс запускали мы, далеко не каждая компания задумывалась об этом.
Нормативные изменения, полученный опыт, компетенции, аттестованный контур, статус лицензиата — все это привело к созданию новой услуги «Хостинг для персональных данных». Она подойдет малому и среднему бизнесу, например, небольшим интернет-магазинам и доставкам, сайтам с формой обратной связи, личными кабинетами и CRM-системой. Услуга предоставляется в формате SaaS решения. Специализированный программно-аппаратный комплекс hoster.by построен в аттестованном контуре, в который внедряется информационная система клиента. Проект в обязательном порядке подключается к администрированию.
Кроме того, hoster.by может провести аудит всех информационных систем компании, чтобы понять, насколько оптимальна нынешняя стратегия защиты данных и какими новыми решениями ее можно дополнить.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.