Заказчики: DataLine (ДатаЛайн) Москва; Информационные технологии Подрядчики: BSI Management Systems CIS (Би-Эс-Ай Эм-Эс Си-Ай-Эс, Би-Эс-Ай Менеджмент Системс Си-Ай-Эс) Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)Дата проекта: 2015/03 — 2022/01
|
Технология: ИБ - Антивирусы
Технология: ИБ - Антиспам
Технология: ИБ - Аутентификация
Технология: ИБ - Межсетевые экраны
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Резервное копирование и хранение данных
Технология: ИБ - Средства шифрования
|
Содержание |
2022: Сертификация по стандартам ISO 27017:2015 и ISO 27018:2019
Облачный провайдер DataLine 22 февраля 2022 года сообщил о получении сертификата соответствия международным стандартам безопасности данных в облаке ISO 27017:2015 и ISO 27018:2019.
Стандарт ISO 27017:2015 регламентирует безопасность предоставления облачных сервисов провайдером. В процессе сертификации по данному стандарту учитывалось соблюдение рекомендаций и практик по обеспечению безопасности облачных сервисов DataLine, а также прозрачность действий, совершаемых с персональными данными в облаке. Сертификат ISO 27017:2015 распространяется на следующие сервисы компании: виртуальная инфраструктура (IaaS) на базе VMware, Hyper-V и Tionix, платформенные решения (PaaS), включая Kubernetes, объектное хранилище S3, VDI и хостинг корпоративной электронной почты, а также ИБ-сервисы: NGWF, WAF и многофакторную аутентификацию.
ISO 27018:2019, в свою очередь, содержит требования по защите персональной информации субъектов, обрабатываемых клиентами в облаке. Для проверки соответствия этому стандарту оценивалось наличие всех описанных в документе мер по защите персональной информации в облаке. Область действия сертификата ISO 27018:2019 — облако для обработки персональных данных в соответствии с 152-ФЗ (Cloud-152), объектное хранилище S3, виртуальные рабочие столы (CitrixVDI) и «Облачный диск», функционирующий на базе Cloud-152.
«Стандарты ISO 27017:2015 и ISO 27018:2019 — одни из немногих документов, регулирующих обеспечение информационной безопасности для облачных сервисов, поэтому подтверждение соответствия их требованиям было важной задачей для нашей компании. Получив данные сертификаты, мы гарантируем нашим заказчиками безопасность облачных сервисов и сохранность их персональных данных на уровне мировых практик», — сказал Василий Степаненко, директор центра киберзащиты DataLine.
Новые сертификаты дополняют полученный ранее DataLine сертификат соответствия ISO 27001:2013 о системе менеджмента информационной безопасности.
2021: Сертификация дополнительных ИБ-сервисов по требованиям PCI DSS
Компания DataLine 11 августа 2021 года сообщила о сертификации дополнительных ИБ-сервисов по требованиям международного стандарта безопасности платежных данных PCI DSS (Payment Card Industry Data Security Standard) версии 3.2.1.
В рамках ежегодного аудита DataLine прошла сертификацию на соответствие стандарту PCI DSS для новых ИБ-сервисов. Портфель услуг для работы с международными платежными системами пополнили: сервис защиты сети (Next Generation Firewall), обеспечивающий безопасность корпоративного сетевого периметра, и многофакторная аутентификация (MultiFA) для защиты доступа к корпоративным приложениям. Компания также подтвердила выполнение требований стандарта для облачной инфраструктуры Cloud-152, аттестованной по требованиям закона «О персональных данных» (152-ФЗ). Ресертификацию прошли и другие сервисы: объектное хранилище S3, также соответствующее нормам 152-ФЗ, и сервис защиты веб-приложений (Web Application Firewall).
Актуальная версия стандарта безопасности платежных данных PCI DSS — 3.2.1 содержит подробные технические и организационные требования, выполнение которых гарантирует безопасную обработку данных о держателях платежных карт, а также их передачу и хранение в ИТ-системах других организаций в рамках их бизнес-процессов.
Полученный DataLine сертификат соответствия стандарту PCI DSS позволяет компаниям из сферы финансов использовать виртуальную инфраструктуру и облачные сервисы провайдера для своей работы и быть уверенными в безопасности транзакций и сохранности платежных данных пользователей.
«Мы не только помогаем клиентам обеспечить практическую безопасность их инфраструктуры и критически важных систем, но и гарантируем выполнение требований регуляторов, в том числе международных платежных систем. В дальнейшем мы планируем продолжить расширение портфеля сервисов, соответствующих стандарту PCI DSS», — рассказал Василий Степаненко, директор центра киберзащиты DataLine. |
2020: Ресертификационный аудит на соответствие ISO/IEC 27001:2013
Британский институт стандартов (BSI) провел полный ресертификационный аудит компании DataLine на соответствие требованиям международного стандарта ISO/IEC 27001:2013. В область действия сертификата входят площадки OST и NORD. Об этом DataLine сообщила 26 января 2021 года.
Аудит проводился по списку услуг:
- Размещение оборудования в ЦОД.
- Аренда виртуальных ресурсов.
- Хостинг электронной почты.
- Услуги связи.
- Сетевая безопасность.
- Защита веб-приложений.
- Многофакторная аутентификация.
- Защита от спама.
- Администрирование оборудования и системного ПО.
- Консультирование клиентов по поводу соответствия информационных систем стандартам.
Данный сертификат действует до 20 января 2024 года и имеет тот же номер IS 577456. Это удобно для клиентов, которые предоставляют ссылки на сертификаты сервис-провайдера в рамках собственной системы управления информационной безопасностью.
2015: Два внешних аудита на соответствие требованиям PCI DSS и ISO/IEC 27001
В конце декабря 2015 года компания DataLine прошла два внешних аудита на соответствие требованиям международных стандартов информационной безопасности: PCI DSS и ISO/IEC 27001. Впервые DataLine прошла аудит услуг colocation по PCI DSS в конце 2010 г. и с тех пор ежегодно подтверждает свое соответствие международным стандартам.
DataLine готовится к сертификации сервисов виртуализации по данному стандарту. Аудит запланирован на 2016 г., рассказали в компании. Под конец года DataLine в четвертый раз подтвердила соответствие требованиям стандарта ISO/IEC 27001. Компания продемонстрировала аудиторам BSI эффективность используемой системы управления информационной безопасности и наличие необходимых технологических инструментов защиты данных клиентов, размещаемых в дата-центрах компании, указали в DataLine.
В рамках аудита по ISO/IEC 27001 проверку проходили следующие услуги и процессы: размещение оборудования в ЦОД; предоставление услуг связи клиентам; аренда виртуальных серверов; почтовый хостинг на базе MS Exchange; защита от сетевых атак; администрирование операционных систем, баз данных, активного сетевого оборудования; предоставление клиентам доступа к размещенному в ЦОД оборудованию; обработка запросов клиентов (через службу поддержки); предоставление клиентам отчетности.