Підготовка до ISO 27001 сертифікації: як Gart допоміг компанії Spiral Technology
Про клієнта
Spiral Technology - бостонський лідер у галузі доповненої реальності. Їх перспективна платформа інтегрує доповнену реальність для оптимізації інспекційних процесів. Задля досягнення найвищого рівня безпеки та відповідності, Spiral Technology почала співпрацю з Gart для отримання експертних рекомендацій щодо аудитів ISO 27001 та розробки хмарної інфраструктури.
Виклик
Spiral Technology зіткнулися з критичною проблемою підготовки до аудиту ISO 27001, одночасно запускаючи продукт для великого клієнта. Складність узгодження завдань DevOps, забезпечення відповідності та міграції хмарної інфраструктури вимагала експертної допомоги для безперешкодної навігації.
Рішення
У пошуках надійного партнера компанія Spiral Technology знайшла Gart через органічний пошук в гугл. Наша спеціалізована команда, що складалася з 2 експертів, розпочала ретельну роботу. Ми вирішили понад 55 завдань щодо відповідності стандарту ISO 27001, ретельно проаналізували налаштування DevOps та організували безперебійну міграцію з Google Cloud Platform (GCP) до Azure, використовуючи Terraform та інструменти автоматизації.
55 завдань щодо відповідності стандарту ISO 27001 були розподілені за трьома рівнями:
- Безпека інфраструктури та хмарних технологій.
- Персональна безпека.
- Безпека коду.
Хмарна безпека
У сфері хмарної безпеки первинна оцінка Google Cloud Platform (GCP) виявила відкриті конфігурації. Експерти Gart налаштували групи безпеки та брандмауери, щоб обмежити публічний доступ до сервісів. Інтеграція єдиного входу (SSO) з Google Workspace GCP покращила загальне управління безпекою. Це дозволило здійснювати централізований контроль, в тому числі впровадити багатофакторну автентифікацію (MFA) для всього доступу до GCP.
Репозиторій коду клієнта, розміщений на GitLab, зазнав аналогічних змін. Було впроваджено MFA, а рівні доступу були налаштовані на основі ролей, розмежовуючи розробників та адміністраторів.
Безпека інфраструктури
Для забезпечення безпеки інфраструктури було впроваджено шифрування даних, що убезпечило базу даних. Зовнішній доступ до всіх кінцевих точок додатків було обмежено, дозволивши вхід лише через віртуальну приватну мережу (VPN). Були розроблені стратегії резервного копіювання баз даних, що забезпечило цілісність і доступність даних. Крім того, було розроблено та протестовано комплексний план резервного копіювання та аварійного відновлення, який включав сценарії, методи реагування та сувору 40-хвилинну Угоду про рівень обслуговування (SLA).
Особиста безпека
Стандарт ISO 27001 робить сильний акцент на особистій безпеці. Було створено централізовану систему для управління та контролю пристроїв, що використовуються в розробці. Створено кураторський список схваленого програмного забезпечення для розробки, що забезпечує дотримання стандартів безпеки.
Безпека коду
Для безпеки коду ключову роль відіграв репозиторій GitLab. Він був налаштований безпечно, надаючи доступ лише тим, хто цього потребував. Було впроваджено захист гілок, а також динамічне тестування безпеки додатків (DAST) і сканування вразливостей для посилення безпеки.
Результати
Співпраця між Gart та Spiral Technology дала відчутні результати, що свідчать про прогрес та успіх. Експертиза Gart була продемонстрована під час виконання 55 завдань на відповідність стандарту ISO 27001, що підкреслило нашу компетентність у цій галузі. Безперешкодна міграція з Google Cloud Platform (GCP) на Azure ще раз продемонструвала наші можливості. Крім того, Spiral Technology отримала 10 годин високоякісних консультацій з питань ІТ-інфраструктури під час відеодзвінків, що підкреслює прихильність Gart до успіху клієнтів.
Щоб ознайомитися з детальним відгуком клієнта, відвідайте Clutch. Проект був добре організований, команда Гарта використовувала такі інструменти, як Notion, для ефективного управління завданнями та підтримки чіткої комунікації. Безпосередня участь генерального директора під час аудиту стала прикладом відданості Gart успіху клієнта.
