Продукты
De Novo
Партнерство
Блог
Контакты
Сервисы для AI/ML
Kubernetes as a Service
Частное облако
Публичное облако
Защита данных
Хранение данных
Дата Центр
Для государственного сектора
Публичное облако з NVIDIA GPU
Облако с NVIDIA GPU с тензорными ядрами для запуска рабочих нагрузок искусственного интеллекта и машинного обучения
Частное облако с NVIDIA GPU
Частное облако расширенное NVIDIA GPU с тензорными ядрами для задач AI/ML
Платформа для работы с Gen AI
Готовая среда, в которой можно создавать собственные приложения с генеративным ИИ
Рабочая среда AI/ML-инженера
Готовое функциональное рабочее пространство ML-инженера, развернутая в облаке с NVIDIA GPU
Компания
Аттестаты и сертификаты
Партнерские статусы
Работа в De Novo
О De Novo
Центр управления облаком
Клиенты
Кейсы
Документы
Жалобы и предложения
Кейсы De Novo
Новости
Загрузки
Презентации
Видео
+380-44-200-93-39 [email protected]
Личный кабинет
Ru
En Ua
Меню
Продукты
Продукты
Сервисы для AI/ML
Сервисы для AI/ML
Кейсы AI в Украине
Узнайте реальные кейсы внедрения AI в Украине: ИТ, медицина, агросектор, промышленность, государство и т.д.
Kubernetes as a Service
Kubernetes as a Service
Что такое статусы Kubernetes Certified Service Provider та Certified Kubernetes – Hosted?
De Novo является первой компанией в Украине, получившей статусы KCSP и Certified Kubernetes – Hosted от CNCF
Частное облако
Частное облако
Публичное или частное облако — что выбрать?
Чем отличаются, какие преимущества и особенности, и что именно выбрать? Примеры реальных решений в Украине и кейсы их использования
Публичное облако
Публичное облако
Миграция в облако
Если ваши специалисты нуждаются в дополнительных компетенциях для осуществления миграции, мы берем на себя все аспекты этого процесса
Защита данных
Защита данных
DR или Backup — что выбрать?
Узнайте чем отличаются эти инструменты, для чего лучше подходят, и как защитить свой бизнес уже сейчас
Хранение данных
Хранение данных
Дата Центр
Дата Центр
Для государственного сектора
Для государственного сектора
De Novo
De Novo
Компания
Компания
Аттестаты и сертификаты
Аттестаты и сертификаты
Сертификаты De Novo
Операционные процессы и информационная безопасность De Novo подтверждены международной и государственной сертификацией и соответствуют требованиям корпоративного бизнеса
Партнерские статусы
Партнерские статусы
Работа в De Novo
Работа в De Novo
Партнерство
Блог
Блог
Кейсы De Novo
Новости
Загрузки
Презентации
Видео
Контакты
Личный кабинет
+380-44-200-93-39 [email protected]
Ua Ru En
Главная Блог компании De Novo Сценарий «уволенный сотрудник» или «предъявите доказательства». В De Novo показали, как проходят международные проверки по безопасности
Сценарий «уволенный сотрудник» или «предъявите доказательства». В De Novo показали, как проходят международные проверки по безопасности

Сценарий «уволенный сотрудник» или «предъявите доказательства». В De Novo показали, как проходят международные проверки по безопасности

2025-11-18

De Novo Cloud Expert

De Novo Cloud Expert

Сертификация облаков и дата-центров по международным стандартам безопасности и защиты данных — обязательный элемент для любого ответственного сервис-провайдера. Компания De Novo регулярно проходит соответствующие аудиты. Но, мало кто знает, как выглядят эти процедуры на практике и из чего состоят.

Для отраслей с повышенными требованиями к безопасности наличие международной сертификации в сфере безопасности давно стало обязательным. Банки, госструктуры, телеком-операторы и крупные платёжные системы работают в среде, где каждое нарушение может стоить лицензии. Они выбирают только тех провайдеров, у которых безопасность подтверждена внешними аудитами. В таких контрактах международная сертификация в сфере безопасности — не элемент престижа, а документ, который позволяет пройти комплаенс без дополнительных экспертиз.

«Каждая сертификация — это готовность показать «кухню» независимым экспертам. Аудиторы приходят с инспекционными визитами, сверяют реальные процессы с политиками безопасности. Для компании это всегда стресс-тест. В ходе аудитов проверяются права доступа, логи, схемы реагирования,  бэкапы, обеспечение защиты физического и логического контуров. Эта практика, закрепленная в операционных процедурах, стала основой доверия для клиентов из финансового сектора, ритейла и гоcструктур», — отмечает Татьяна Чабанова, руководитель отдела стандартизации и сертификации De Novo.

Практический пример №1: Аудит физического доступа

Аудитор не просто осматривает дата-центр. Он просит показать журнал системы контроля доступа (СКУД) за конкретную дату, например, три месяца назад. Затем выбирает случайную запись: «Инженер Сидоренко, вход в машинный зал, 3:15 ночи».

Задача команды De Novo — немедленно предоставить основание для этого визита: номер заявки на работы (тикет) и описание выполненных действий. Если связки «запись в СКУД — авторизованная заявка» нет, это фиксируется как несоответствие. 

Ценность аудитов ISO в том, что они подтверждают: безопасность, управление инцидентами и контроль изменений реально функционируют по единым правилам, видным клиентам и партнёрам.

Практический пример №2: Сценарий «Уволенный сотрудник»

  • Аудитор открывает HR-отчетность и выбирает сотрудника, уволенного два месяца назад.
  • Запрос: «Покажите мне, что этот человек не имеет доступа к вашим системам».

Команда должна предоставить доказательства (из логов) блокировки учетной записи в тот же день в Active Directory, консолях управления облаком (vSphere, Cloud Director) и VPN. Если учетная запись была активна после даты увольнения— это критическое несоответствие. 

ISO-аудиторы работают с выборкой. Они проверяют не всё, а репрезентативные элементы: журналы событий, отчёты по резервированию. Если в контрольных точках нет разрывов, система функционирует. Успешная сертификация ценится выше внутренней, так как её проводят независимые эксперты. Для клиента это доверие, для оператора — способ увидеть слабые места до того, как они станут проблемой.

Практический пример №3: Проверка реагирования на инцидент

Аудитор просит показать реестр инцидентов и выбирает один: «Вижу, у вас была DDoS-атака в прошлый четверг».

Задача De Novo — показать всю цепочку реагирования:

  • Обнаружение: Алерт из системы мониторинга (14:02).
  • Регистрация: Тикет в Service Desk (14:03).
  • Эскалация: Назначение ответственного (14:05).
  • Действия: Логи системы защиты от DDoS (14:10).
  • Закрытие: Отчет по инциденту (15:00).

Аудитор сверяет эти таймкоды с «Политикой реагирования». Если по политике реакция должна занимать 5 минут, а администратор отреагировал через час — это «разрыв»

Стандарты, определяющие правила игры

Каждая сертификация ISO имеет свой фокус. ISO 27001 формирует каркас системы управления инфобезопасностью (СУИБ). ISO 27701 усиливает его требованиями приватности (GDPR), описывая, как компания обращается с персональными данными, что критично для облачных провайдеров. 

Пример №4: ISO 27701 на практике

Вопрос аудитора: «Клиент (банк) хранит в вашем облаке базу данных с персональными данными вкладчиков. Как вы докажете, что ваши администраторы не могут прочитать эти данные?»

Провайдер должен показать политики контроля:

  • Технические: Клиент использует шифрование (ключи только у него). Инженер De Novo видит лишь зашифрованный контейнер.
  • Организационные: De Novo демонстрирует логисистем мониторинга, которые фиксируют все действия администраторов. Аудитор видит, что администраторы выполняют только операции по управлению ВМ (миграция, бэкап), но не было попыток зайти внутрь гостевой ОС клиента.

ISO 27017 и 27018 вводят правила для облачных сред. Они описывают модели ответственности (shared responsibility) между провайдером и клиентом и стали отраслевым языком, помогающим заказчикам понять, какие гарантии они получают.

Практический пример №5: Модель ответственности

Сценарий аудитора: «Если клиент развернул ВМ, неправильно настроил firewall и «выставил» свой RDP-порт в интернет, в результате чего его взломали. Чья это ответственность?» 

Проверка: De Novo должна показать документ «Матрица ответственности», где четко прописано, что это — зона ответственности клиента. В свою очередь, оператор должен доказать, как он защищает свою плоскость управления

Какие сертификаты есть у De Novo? 

De Novo подтвердила соответствие своих облаков и дата-центров ряду ключевых международных стандартов. Все сертификаты, полученные в результате аудитов — гарантия для клиентов, что их данные хранятся и обрабатываются согласно международным требованиям конфиденциальности и защиты данных. Облака и дата-центры De Novo сертифицированы по ISO/IEC 27001, 27701, 27017 и 27018, а также PCIDSS.

ISO/IEC 27001:2022 — международный стандарт управления информационной безопасностью, подтверждающий, что компания системно защищает данные от утечек, потерь и несанкционированного доступа.

ISO/IEC 27701:2019 — расширение к ISO/IEC 27001, которое фокусируется на защите персональных данных. Документ важен для соответствия нормам GDPR и работы с конфиденциальной информацией пользователей.

ISO/IEC 27017:2015 — международный стандарт для поставщиков облачных сервисов с фокусом на информационную безопасность в облаке.

ISO/IEC 27018:2919 — подтверждает соблюдение провайдером норм конфиденциальности при обработке персональной информации в публичной облачной среде. 

PCIDSS — это стандарт безопасности данных, разработанный для защиты данных держателей платежных карт. Он устанавливает требования к любым организациям, которые хранят, обрабатывают или передают эту информацию, чтобы предотвратить мошенничество и обеспечить ее безопасность.

В совокупности наличие перечисленных сертификатов создает замкнутый контур защиты данных, где безопасность встроена в архитектуру и поддерживается регулярными аудитами. Хотя наличие международных сертификатов  не является обязательным требованием для национальных провайдеров. Но для De Novo — это принципиальный вопрос. Мы сознательно инвестируем в безопасность, чтобы наши клиенты могли не переживать за безопасность своих данных. Это один из базовых подходов нашего бизнеса.

новости De Novo Как это сделано?
© 2008—2026 De Novo (ТОВ «Де Ново»)