Support us

Проверили сами себя. Как hoster.by аттестовывал свою систему защиты информации

Закон о персональных данных ушел из заголовков, но не из реальности. Собственники бизнеса опасаются проверок и подсчитывают, во сколько им может обойтись аттестация у стороннего подрядчика. У hoster.by особая история — так получилось, что сначала компания аттестовала сама себя, а потом начала предоставлять эту услугу рынку. Почему процесс аттестации растянулся на полгода вместо «пары месяцев», какие сложности возникали на разных этапах проекта и где можно подстелить себе соломку, рассказывает эксперт по информационной безопасности Дмитрий Таран.

Процесс аттестации — это вершина «айсберга». И перед получением аттестата необходимо пройти весь путь — проектирование, создание и аттестацию систем защиты информации. 

Задолго до вступления в силу Закона о персональных данных существовали другие нормативные акты в области защиты информации. У hoster.by внушительная база в 150 000 клиентов, которые покупают домены, хостинг, облака и администрирование. Компания хранит и обрабатывает терабайты данных, включая персональные. Для их безопасности и соблюдения требований законодательства провайдер инициировал аттестацию систем защиты информации, вспомнить о которой сейчас как никогда актуально. 

Оставить комментарий
Проверили сами себя. Как hoster.by аттестовывал свою систему защиты информации

Закон о персональных данных ушел из заголовков, но не из реальности. Собственники бизнеса опасаются проверок и подсчитывают, во сколько им может обойтись аттестация у стороннего подрядчика. У hoster.by особая история — так получилось, что сначала компания аттестовала сама себя, а потом начала предоставлять эту услугу рынку. Почему процесс аттестации растянулся на полгода вместо «пары месяцев», какие сложности возникали на разных этапах проекта и где можно подстелить себе соломку, рассказывает эксперт по информационной безопасности Дмитрий Таран.

Процесс аттестации — это вершина «айсберга». И перед получением аттестата необходимо пройти весь путь — проектирование, создание и аттестацию систем защиты информации. 

Задолго до вступления в силу Закона о персональных данных существовали другие нормативные акты в области защиты информации. У hoster.by внушительная база в 150 000 клиентов, которые покупают домены, хостинг, облака и администрирование. Компания хранит и обрабатывает терабайты данных, включая персональные. Для их безопасности и соблюдения требований законодательства провайдер инициировал аттестацию систем защиты информации, вспомнить о которой сейчас как никогда актуально. 

Справка

Закон «О защите персональных данных» вступил в силу 15 ноября 2021 года и затронул практически весь белорусский бизнес — от крупных компаний до индивидуальных предпринимателей. В соответствии с ним каждая организация должна правильно собирать, хранить и обрабатывать персональные данные, а также обеспечить необходимый уровень защиты по требованиям регуляторов в лице ОАЦ (Оперативно-аналитического центра при Президенте Республики Беларусь), подтвердив это аттестацией системы защиты информации, а также Национального центра защиты персональных данных.

Чем это грозит компании, которая не успела пройти аттестацию?

Национальный центр защиты персональных данных уже сейчас проводит проверки бизнеса. Любой человек, который посчитает, что его права по защите данных нарушены, может обратиться туда с заявлением, и тогда компанию могут проверить. За нарушение закона установлена ответственность, как гражданско-правовая, дисциплинарная, административная, так и уголовная ответственность. Компанию могут оштрафовать и наложить другие санкции вплоть до приостановки работы системы, в которой обрабатываются и хранятся персональные данные.

Для получения аттестата у нашей компании было несколько путей:

  • Самостоятельно пройти аттестацию. 
  • Заказать услугу аттестации у профильной организации, которая имеет на это лицензию. 

Мы выбрали первый вариант — аттестовать себя самостоятельно. Как это было? 

Для начала мы определили рабочую группу проекта. В нее вошли специалисты по информационной безопасности, сопровождению инфраструктуры, админы по средствам защиты, среде виртуализации и сети. Для размещения данных выбрали облачную платформу, потому что это гибкое и удобное решение. На реализацию проекта заложили предварительно 3 месяца. Стартовали с самостоятельного аудита систем, где должны храниться персональные данные. После этого подготовили документ «Задание по безопасности», в котором расписали все требования по обеспечению безопасности информации в системе защиты. 

В документе были зафиксированы все правила по: 

  1. антивирусной, сетевой и парольной защите;
  2. разделению доступа пользователей;
  3. логированию событий безопасности;
  4. резервному копированию;
  5. требованиям к виртуальной инфраструктуре и другие.

Именно на основании этого документа и закупались средства защиты, настраивались и внедрялись политики, например, для антивирусного программного обеспечения, межсетевого экрана и другие.

Неожиданный вызов, с которым столкнулись, — сертификация программного продукта среды виртуализации. Этот процесс мы изначально не закладывали в роадмап. Таким образом процесс аттестации для нас растянулся еще на три месяца, пока не был получен заветный сертификат. 

После завершения всех настроек обязательный этап аттестации — проведение анализа защищенности всех компонентов системы.

К слову, сканирование на уязвимости показало, что некоторые компоненты системы нужно было обновить до актуальных версий. После устранения всех «слабых мест» мы подошли к финалу — проведению испытаний и подготовки отчетности. Параллельно  разрабатывалась политика информационной безопасности аттестуемой системы с описанием всех процессов.

И в итоге — на руках долгожданный аттестат! В результате процесс аттестации для hoster.by занял полгода. 

Столкнувшись со всеми подводными камнями лично, сейчас та же проектная команда работает над задачами клиентов по аттестации максимально слаженно и гладко. 

Решение для малого и среднего бизнеса от 1800 BYN 

После выхода Закона защита персональных данных просто необходима любому бизнесу — от небольших интернет-магазинов и ритейла до финансового сектора. Когда процесс запускали мы, далеко не каждая компания задумывалась об этом. 

Нормативные изменения, полученный опыт, компетенции, аттестованный контур, статус лицензиата — все это привело к созданию новой услуги «Хостинг для персональных данных». Она подойдет малому и среднему бизнесу, например, небольшим интернет-магазинам и доставкам, сайтам с формой обратной связи, личными кабинетами и CRM-системой. Услуга предоставляется в формате SaaS решения. Специализированный программно-аппаратный комплекс hoster.by построен в аттестованном контуре, в который внедряется информационная система клиента. Проект в обязательном порядке подключается к администрированию. 

Это гарантирует максимальную надежность на всех уровнях: обеспечение резервного копирования, мониторинга, работы всех систем защиты, а также техподдержка системных администраторов 24/7. Работы по аттестации в таком случае обойдутся от 1800 BYN и займут от 30 рабочих дней. 

Кроме того, hoster.by может провести аудит всех информационных систем компании, чтобы понять, насколько оптимальна нынешняя стратегия защиты данных и какими новыми решениями ее можно дополнить.

Место солидарности беларусского ИТ-комьюнити

Далучайся!

Читайте также
Flo ответила на критику Mozilla о защите приватности
Flo ответила на критику Mozilla о защите приватности
Flo ответила на критику Mozilla о защите приватности
2 комментария
Mozilla отчитала Flo за беспорядок в политике приватности и обвинила в обмане пользовательниц
Mozilla отчитала Flo за беспорядок в политике приватности и обвинила в обмане пользовательниц
Mozilla отчитала Flo за беспорядок в политике приватности и обвинила в обмане пользовательниц
1 комментарий
Facebook откажется от некоторых функций геолокации
Facebook откажется от некоторых функций геолокации
Facebook откажется от некоторых функций геолокации
Google Play начал показывать, какие персональные данные собирают приложения
Google Play начал показывать, какие персональные данные собирают приложения
Google Play начал показывать, какие персональные данные собирают приложения

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.