Сценарій «звільнений співробітник» або «надайте докази». У De Novo показали, як проходять міжнародні перевірки з безпеки
2025-11-18
Сертифікація хмар та дата-центрів за міжнародними стандартами безпеки та захисту даних — обов’язковий елемент для будь-якого відповідального сервіс-провайдера. Компанія De Novo регулярно проходить відповідні аудити. Проте мало хто знає, як виглядають ці процедури на практиці та з чого вони складаються.
Для галузей із підвищеними вимогами до безпеки наявність міжнародної сертифікації у сфері безпеки вже давно стала обов’язковою. Банки, держструктури, телеком-оператори й великі платіжні системи працюють у середовищі, де кожне порушення може коштувати ліцензії. Вони обирають лише тих провайдерів, у яких безпеку підтверджено зовнішніми аудитами. У таких контрактах міжнародна сертифікація у сфері безпеки — не елемент престижу, а документ, який дозволяє пройти комплаєнс без додаткових експертиз.
«Кожна сертифікація — це готовність показати “кухню” незалежним експертам. Аудитори приходять з інспекційними візитами, звіряють реальні процеси з політиками безпеки. Для компанії це завжди стрес-тест. Під час аудитів перевіряються права доступу, логи, схеми реагування, бекапи, забезпечення захисту фізичного та логічного контурів. Ця практика, закріплена в операційних процедурах, стала основою довіри для клієнтів із фінансового сектора, ритейлу та держструктур», — зазначає Тетяна Чабанова, керівниця відділу стандартизації та сертифікації De Novo.
Практичний приклад №1: Аудит фізичного доступу
Аудитор не просто оглядає дата-центр. Він просить показати журнал системи контролю доступу (СКУД) за конкретну дату, наприклад, три місяці тому. Потім обирає випадковий запис: «Інженер Сидоренко, вхід до машинного залу, 3:15 ночі».
Завдання команди De Novo — негайно надати підставу для цього візиту: номер заявки на роботи (тікета) й опис виконаних дій. Якщо зв’язки «запис у СКУД — авторизована заявка» немає, це фіксується як невідповідність.
Цінність аудитів ISO полягає в тому, що вони підтверджують: безпека, управління інцидентами та контроль змін реально функціонують за єдиними правилами, видимими клієнтам та партнерам.
Практичний приклад №2: Сценарій «Звільнений співробітник»
Аудитор відкриває HR-звітність і обирає співробітника, звільненого два місяці тому.
Запит: «Покажіть мені, що ця людина не має доступу до ваших систем».
Команда має надати докази (з логів) блокування облікового запису того самого дня в Active Directory, консолях керування хмарою (vSphere, Cloud Director) та VPN. Якщо обліковий запис був активним після дати звільнення — це критична невідповідність.
ISO-аудитори працюють із вибіркою. Вони перевіряють не все, а репрезентативні елементи: журнали подій, звіти з резервування. Якщо в контрольних точках немає розривів — система функціонує. Успішна сертифікація цінується вище за внутрішню, адже її проводять незалежні експерти. Для клієнта це довіра, для оператора — спосіб побачити слабкі місця до того, як вони стануть проблемою.
Практичний приклад №3: Перевірка реагування на інцидент
Аудитор просить показати реєстр інцидентів і обирає один: «Бачу, у вас була DDoS-атака минулого четверга».
Завдання De Novo — показати весь ланцюг реагування:
• Виявлення: алерт із системи моніторингу (14:02).
• Реєстрація: тікет у Service Desk (14:03).
• Ескалація: призначення відповідального (14:05).
• Дії: логи системи захисту від DDoS (14:10).
• Закриття: звіт за інцидентом (15:00).
Аудитор звіряє ці таймкоди з «Політикою реагування». Якщо за політикою реакція має тривати 5 хвилин, а адміністратор відреагував через годину — це «розрив».
Стандарти, що визначають правила гри
Кожна сертифікація ISO має свій фокус. ISO 27001 формує каркас системи управління інформаційною безпекою (СУІБ). ISO 27701 підсилює його вимогами приватності (GDPR), описуючи, як компанія поводиться з персональними даними, що критично для хмарних провайдерів.
Приклад №4: ISO 27701 на практиці
Питання аудитора: «Клієнт (банк) зберігає у вашій хмарі базу даних із персональними даними вкладників. Як ви доведете, що ваші адміністратори не можуть прочитати ці дані?»
Провайдер має показати політики контролю:
• Технічні: клієнт використовує шифрування (ключі лише в нього). Інженер De Novo бачить лише зашифрований контейнер.
• Організаційні: De Novo демонструє логи систем моніторингу, які фіксують усі дії адміністраторів. Аудитор бачить, що адміністратори виконують тільки операції з керування ВМ (міграція, бекап), але не було спроб зайти всередину гостьової ОС клієнта.
ISO 27017 та 27018 вводять правила для хмарних середовищ. Вони описують моделі відповідальності (shared responsibility) між провайдером та клієнтом і стали галузевою мовою, що допомагає замовникам зрозуміти, які гарантії вони отримують.
Практичний приклад №5: Модель відповідальності
Сценарій аудитора: «Якщо клієнт розгорнув ВМ, неправильно налаштував firewall й “виставив” свій RDP-порт в інтернет, у результаті чого його зламали. Чия це відповідальність?»
Перевірка: De Novo має показати документ «Матриця відповідальності», де чітко прописано, що це — зона відповідальності клієнта. Водночас оператор повинен довести, як він захищає свою площину керування.
Які сертифікати має De Novo?
De Novo підтвердила відповідність своїх хмар і дата-центрів низці ключових міжнародних стандартів. Усі сертифікати, отримані за результатами аудитів, — гарантія для клієнтів, що їхні дані зберігаються та обробляються відповідно до міжнародних вимог конфіденційності й захисту даних. Хмари й дата-центри De Novo сертифіковані за ISO/IEC 27001, 27701, 27017 та 27018, а також PCI DSS.
ISO/IEC 27001:2022 — міжнародний стандарт управління інформаційною безпекою, що підтверджує, що компанія системно захищає дані від витоків, втрат і несанкціонованого доступу.
ISO/IEC 27701:2019 — розширення до ISO/IEC 27001, яке фокусується на захисті персональних даних. Документ важливий для відповідності нормам GDPR та роботи з конфіденційною інформацією користувачів.
ISO/IEC 27017:2015 — міжнародний стандарт для постачальників хмарних сервісів із фокусом на інформаційну безпеку в хмарі.
ISO/IEC 27018:2019 — підтверджує дотримання провайдером норм конфіденційності під час обробки персональної інформації у публічному хмарному середовищі.
PCI DSS — це стандарт безпеки даних, розроблений для захисту даних власників платіжних карток. Він встановлює вимоги до будь-яких організацій, що зберігають, обробляють або передають цю інформацію, аби запобігти шахрайству та забезпечити її безпеку.
У сукупності наявність перелічених сертифікатів створює замкнений контур захисту даних, де безпека вбудована в архітектуру й підтримується регулярними аудитами. Хоча наявність міжнародних сертифікатів не є обов’язковою вимогою для національних провайдерів, для De Novo це принципове питання. Ми свідомо інвестуємо в безпеку, щоб наші клієнти могли не хвилюватися за захист своїх даних. Це один із базових підходів нашого бізнесу.