О чём история

Skillaz — один из лидеров российского рынка HR Tech и разработчик интеллектуальной платформы для автоматизации управления персоналом.

Инфраструктура Skillaz размещена в Yandex Cloud. Компания хранит и обрабатывает большой объём персональных данных. Чтобы подтвердить соответствие ИСПДн высоким требованиям безопасности, Skillaz решила пройти аттестацию на соответствие требованиям по защите ПДн для обеспечения уровня защиты УЗ‑2. Для этого Skillaz обратилась в Card Security — компанию, специализирующуюся на оказании консалтинговых и аудиторских услуг в области безопасности.

За 3 месяца Card Security провела аудит бизнес‑процессов и совместно со Skillaz привела процессы обработки ПДн в соответствие со 152‑ФЗ, доработала комплект нормативной документации и подготовила ИСПДн к аттестации. Аттестация прошла строго в соответствии с требованиями Приказа № 21 ФСТЭК России. В результате Skillaz получила сертификат соответствия ИСПДн уровню защищённости УЗ‑2.

Задача компании

Платформа Skillaz — это SaaS‑решение, которое помогает автоматизировать процессы рекрутмента, онбординга и адаптации, наладить обратную связь, снизить текучесть кадров и развивать сотрудников, повышая их производительность. Платформу используют более 310 000 специалистов, в том числе сотрудников таких крупных компаний, как М.Видео, Пятёрочка, Fix Price, Группа «Самолет», ВТБ и другие. С помощью Skillaz успешно закрывается более 350 000 вакансий в год.

Инфраструктура Skillaz размещена в Yandex Cloud. Клиенты доверяют компании большие объёмы персональных данных и хотят быть уверенными в высоком уровне защиты данных от утечек, контроле периметра ИСПДн, наличии регламентов и процедур по контролю уязвимостей и по работе с ПДн внутри компании. Для того чтобы клиенты могли хранить более чувствительную информацию, такую как медицинские карты, Skillaz приняли решение пройти аттестацию на уровень защищённости УЗ‑2.

Решение Skillaz практически с начала проекта было развёртнуто на платформе Yandex Cloud. Изначально Skillaz рассматривали зарубежные и российские облачные платформы, в результате сделали выбор в пользу Yandex Cloud. Компании понравился широкий набор управляемых сервисов и высокая отказоустойчивость.

Когда появилась необходимость хранения персональных данных строго в соответствии с требованиями регулятора, правильность решения подтвердилась. Для Skillaz соблюдение требований 152‑ФЗ не стало проблемой, так как единый сегмент публичного облака Yandex Cloud соответствует всем требования федерального закона. Платформа выполняет постановление правительства РФ № 1119 и приказ ФСТЭК № 21 и имеет аттестат по высшему уровню защищённости УЗ‑1. При этом концепция разделения ответственности чётко регламентирует требования законодательства, которые должны быть выполнены на стороне клиента.

Четыре этапа работ для успешной аттестации

Для подготовки и прохождения аттестации Skillaz обратились в Card Security — компанию, специализирующуюся на оказании консалтинговых и аудиторских услуг в области безопасности.

Решение Skillaz развёрнуто в управляемом Kubernetes и на виртуальных машинах Compute Cloud. Компания использует как управляемые сервисы, такие как managed MongoDB, S3 и Network Load Balancer, так и самостоятельно развёрнутые на виртуальных машинах. Skillaz разделили продакшен и стейдж окружение с использованием зашифрованных каталогов для обеспечения их максимальной изоляции. Гранулярная настройка прав помогла ограничить круг лиц, которому действительно нужны права на тот или иной каталог решения внутри Yandex Cloud.

Card Security предложила разбить проект на 4 основных этапа. Сначала нужно было обследовать порядок обработки ПДн. Для этого Card Security исследовала бизнес‑процессы и технические и организационные меры защиты, реализованные при неавтоматизированной и автоматизированной обработке ПДн. Затем Card Security определила перечень автоматизированных систем, используемых для обработки ПДн, и собрала информацию о конфигурации каждой из них. После чего провела анализ нормативных документов и разработала рекомендации по приведению процессов обработки ПДн в соответствие требованиям 152‑ФЗ.

Второй этап подразумевал разработку нормативных документов. Так как уровень подготовленности Skillaz был достаточно высоким, то в основном потребовалось обновить документы, регламентирующие процессы. Команда проекта выявила и описала ИСПДн, а также определила уровни защищённости ПДн для каждой ИСПДн. Были разработаны модель угроз и модель нарушителей безопасности для каждой выявленной ИСПДн. Кроме того, Card Security сформировала пакет доработанной нормативной документации и сформировала рекомендации по защите ПДн. В Skillaz реализовали рекомендации на практике: внедрили систему обнаружения вторжений (IDS) и систему управления информационной безопасностью и событиями безопасности (SIEM), а также настроили контроль целостности на виртуальных машинах.

Третий этап проекта — подготовка к аттестации. В проекте были использованы в том числе несертифицированные ФСТЭК средства защиты. Во‑первых, часть средств защиты обеспечивается на уровне платформы Yandex Cloud, например межсетвой экран. Во‑вторых, многие несертифицированные средства защиты позволяют быстрее подходить к циклу управления уязвимостями, потому что их обновления не требуют сертификации.

152‑ФЗ допускает применение таких средств защиты при условии проведения их оценки. Команде нужно было определить, являются ли они средствами, соответствующими требованиям законодательства РФ по защите ПДн. На этом этапе команда подготовила программу и методику оценки и провела её, зафиксировав результат оценки в протоколе.

На последнем этапе Card Security провела аттестацию ИСПДн. Сначала были разработаны описания технологического процесса обработки и технического паспорта ИСПДн. Затем создали программу и методику проведения аттестации. После этого команда приступила к аттестационным испытаниям, фиксируя весь процесс в соответствующих протоколах. По результатам аттестации Card Security разработала заключение с краткой оценкой соответствия ИСПДн требованиям приказа ФСТЭК № 21 и сформировала аттестат соответствия.

Аудит процессов и получение аттестата соответствия за 3 месяца

Skillaz и Card Security за 3 месяца провели аудит, сформировали пакет нормативных документов, реализовали технические и организационные меры защиты, подготовились к аттестационным испытаниям. Аттестация подтвердила соответствие ИСПДн уровню защищённости УЗ‑2.

Аттестат соответствия требованиям по защите персональных данных в соответствии с приказом ФСТЭК № 21 для обеспечения защиты персональных данных УЗ‑2 позволил повысить уровень доверия к продукту и привлечь крупного клиента. В дальнейшем Skillaz планируют провести пентест продукта.

Мнение

Дамир Шияфетдинов,
CTO Skillaz
Дамир Шияфетдинов,
CTO Skillaz

Мы уже давно используем облако Yandex Cloud. Время показало, что наш выбор был удачным. Yandex Cloud это отечественная платформа, соответствующая законодательству РФ и при этом максимально защищённая.