Что такое soc 2?
Разработанный Американским институтом CPA (AICPA), SOC 2 определяет критерии управления данными клиентов на основе пяти “принципов доверительного обслуживания” – безопасность, доступность, целостность обработки, конфиденциальность и приватность.
Безопасность
Принцип безопасности относится к защите системных ресурсов от несанкционированного доступа. Средства контроля доступа помогают предотвратить потенциальное злоупотребление системой, кражу или несанкционированное удаление данных, неправильное использование программного обеспечения, а также ненадлежащее изменение или раскрытие информации.
Инструменты ИТ-безопасности, такие как сетевые экраны и брандмауэры веб-приложений (WAF), двухфакторная аутентификация и обнаружение вторжений, полезны для предотвращения нарушений безопасности, которые могут привести к несанкционированному доступу к системам и данным.
Доступность
Принцип доступности относится к доступности системы, продуктов или услуг в соответствии с условиями контракта или соглашения об уровне обслуживания (SLA). Таким образом, минимально допустимый уровень производительности для доступности системы устанавливается обеими сторонами.
Этот принцип не затрагивает функциональность и удобство использования системы, но включает критерии, связанные с безопасностью, которые могут повлиять на доступность. Мониторинг производительности и доступности сети, отказоустойчивость сайта и обработка инцидентов безопасности имеют решающее значение в этом контексте.
Целостность обработки
Принцип целостности обработки данных касается того, достигает ли система своей цели (т.е. предоставляет нужные данные по нужной цене в нужное время). Соответственно, обработка данных должна быть полной, достоверной, точной, своевременной и санкционированной.
Однако целостность обработки не обязательно подразумевает целостность данных. Если данные содержат ошибки до их ввода в систему, их обнаружение обычно не входит в обязанности обрабатывающей организации. Мониторинг обработки данных в сочетании с процедурами обеспечения качества может помочь обеспечить целостность обработки.
Конфиденциальность
Данные считаются конфиденциальными, если их доступ и раскрытие ограничены определенным кругом лиц или организаций. В качестве примера можно привести данные, предназначенные только для персонала компании, а также бизнес-планы, интеллектуальную собственность, внутренние прайс-листы и другие виды конфиденциальной финансовой информации.
Шифрование является важным средством защиты конфиденциальности при передаче данных. Сетевые и прикладные брандмауэры, а также строгий контроль доступа могут использоваться для защиты информации, обрабатываемой или хранимой в компьютерных системах.
Конфиденциальность
Принцип конфиденциальности касается сбора, использования, хранения, раскрытия и уничтожения личной информации в системе в соответствии с уведомлением организации о конфиденциальности, а также с критериями, изложенными в общепринятых принципах конфиденциальности AICPA (GAPP).
Личная идентифицируемая информация (PII) относится к деталям, которые могут отличить человека (например, имя, адрес, номер социального страхования). Некоторые личные данные, связанные со здоровьем, расой, сексуальностью и религией, также считаются чувствительными и, как правило, требуют дополнительного уровня защиты. Для защиты всех PII от несанкционированного доступа должны быть установлены средства контроля.
Рубрики:Безопасность
Аудит soc 2 пройден!
Ещё в прошлом году в рамках нашей Глобальной инициативы по информационной открытости мы говорили о планах на прохождение независимого аудита и получение отчёта SOC 2. И вот наконец мы можем объявить о том, что он пройден! Позади ого-го-го какая работа, в которой было задействовано очень много сотрудников компании! И я очень горжусь, что мы это сделали!
Что за таинственная аббревиатура этот SOC 2? Зачем этот зверь вообще нужен?
Service Organization Controls (SOC) – это aудит по контрольным процедурам в сервисных организациях; всемирно признанный стандарт отчёта для системы управления рисками кибербезопасности, разработанный Американским институтом дипломированных общественных бухгалтеров (American Institute of Certified Public Accountants, AICPA). Его основная цель – информировать клиентов об эффективности создания и внедрения механизмов контроля безопасности.
Мы выбрали этот стандарт для подтверждения надёжности наших продуктов, чтобы доказать клиентам и партнёрам, что наши внутренние процессы соответствуют высочайшим международным стандартам и нам нечего скрывать. Аудит для нас проводила одна из компаний «большой четверки» (по условиям договора мы не можем раскрыть, какая именно). В течение прошедшего года наши сотрудники активно общались и делились всей необходимой информацией с аудиторами – R&D, IT, Information Security, команда внутреннего аудита.
Финальный отчет, который мы получили на этой неделе, подтверждает пригодность внутренних механизмов контроля над регулярными автоматическими обновлениями антивирусных баз и их корректную работоспособность, а также что процесс разработки и выпуска наших антивирусных баз защищен от неавторизованного вмешательства. Ура!
По запросу мы готовы предоставить этот отчет нашим партнерам, клиентам и госрегуляторам.
Всем привет из… 🙂
Критерии сертификации soc 2
В отличие от PCI DSS, который имеет очень жесткие требования, отчеты SOC 2 уникальны для каждой организации. В соответствии с конкретной деловой практикой каждая из них разрабатывает свои собственные средства контроля для соблюдения одного или нескольких принципов доверия.
Эти внутренние отчеты предоставляют вам (наряду с регулирующими органами, деловыми партнерами, поставщиками и т.д.) важную информацию о том, как ваш поставщик услуг управляет данными.
Существует два типа отчетов SOC
- Тип I описывает системы поставщика услуг и то, подходит ли их конструкция для соблюдения соответствующих принципов доверия.
- Тип II подробно описывает операционную эффективность этих систем.
Кто проводит аудит/оценку соответствия по soc 2 в россии?
Помимо организаций большой четверки аудиторов, в России не так много профильных компаний, способных оценить соответствие SOC 2. Наиболее релевантным опытом обладает компаний RTM Group. Наличие локальных лицензий ФСТЭК и ФСБ, позволяют проводить соответствующие работы на российском рынке.
Сертификация soc 2
Сертификат SOC 2 выдается внешними аудиторами. Они оценивают степень соответствия поставщика одному или нескольким из пяти принципов доверия на основе имеющихся систем и процессов.
Принципы доверия подразделяются следующим образом: