Что нового

Article SOC 2 Compliance

Vander 0

Vander

Команда форума
10.11.2019
472
1 083
what-is-soc2.jpg

Информационная безопасность является поводом для беспокойства всех организаций, включая те, которые передают ключевые бизнес-операции сторонним поставщикам (например, SaaS, поставщикам облачных вычислений). Это справедливо, поскольку неправильная обработка данных, особенно поставщиками приложений и сетевых служб безопасности, может сделать предприятия уязвимыми для атак, таких как кража данных, вымогательство и установка вредоносных программ.

SOC 2 - это процедура аудита, которая обеспечивает безопасное управление вашими данными поставщиками услуг для защиты интересов вашей организации и конфиденциальности ее клиентов. Для предприятий, заботящихся о безопасности, соответствие SOC 2 является минимальным требованием при выборе поставщика SaaS.

Что такое SOC 2 Разработанный Американским институтом CPA (AICPA), SOC 2 определяет критерии для управления данными клиентов на основе пяти «принципов доверительного обслуживания» :
  • Безопасность
  • Доступность
  • Целостность обработки
  • Конфиденциальность
  • Приватность
1611222689662.png

В отличие от стандарта PCI DSS, который предъявляет очень жесткие требования, отчеты SOC 2 уникальны для каждой организации. В соответствии со своей деловой практикой каждый разрабатывает свои собственные средства контроля, чтобы соответствовать одному или нескольким принципам доверия.

Эти внутренние отчеты предоставляют вам (наряду с регулирующими органами, деловыми партнерами, поставщиками и т. Д.) Важную информацию о том, как ваш поставщик услуг управляет данными.

Есть два типа отчетов SOC:
  • Тип I описывает системы поставщика и соответствие их конструкции соответствующим принципам доверия.
  • Тип II описывает операционную эффективность этих систем.
Сертификация SOC 2 Сертификат SOC 2 выдается внешними аудиторами. Они оценивают степень, в которой поставщик соблюдает один или несколько из пяти принципов доверия на основе имеющихся систем и процессов.

Принципы доверия разбиты следующим образом:

Security

1611258219335.png

Принцип безопасности относится к защите системных ресурсов от несанкционированного доступа.

Средства контроля доступа помогают предотвратить возможное злоупотребление системой, кражу или несанкционированное удаление данных, неправомерное использование программного обеспечения и ненадлежащее изменение или раскрытие информации.

Инструменты ИТ-безопасности, такие как межсетевые экраны сетей и веб-приложений (WAF), двухфакторная аутентификация и обнаружение вторжений, полезны для предотвращения нарушений безопасности, которые могут привести к несанкционированному доступу к системам и данным.

Availability

Security.jpg

Принцип доступности относится к доступности системы, продуктов или услуг, как это предусмотрено контрактом или соглашением об уровне обслуживания (SLA).

Таким образом, минимально допустимый уровень производительности для доступности системы устанавливается обеими сторонами. Этот принцип не касается функциональности и удобства использования системы, но включает критерии безопасности, которые могут повлиять на доступность.

В этом контексте критически важны мониторинг производительности и доступности сети, аварийное переключение сайтов и обработка инцидентов безопасности.

99,999%

Термин “пять девяток” означает доступность 99,999% и встречается в маркетинговой литературе не реже, чем в технической. Считается, что сайт или система с уровнем доступности «пять девяток» — это и есть высокая доступность.

Высокая доступность

Высокая доступность нужна всем.

99,999% доступности — это всего 5,3 минуты простоя в год. Но даже те датацентры, которые гарантируют 100% доступность нередко пускаются на маркетинговые ухищрения.

Например, вычитают время регламентного обслуживания из времени доступности. К примеру, дата-центр обещает доступность 99.99%, но в момент, когда проводит плановые работы по замене чего-нибудь пишет “проводятся регламентные работы в течение 2 часов” и не считает это за недоступность. Отсюда вывод — читайте соглашение об уровне обслуживания (SLA) внимательно.

Если вы хотите обеспечить максимально высокую доступность вашему сайту на одном единственном сервере, выбирайте датацентр с хорошей ГАРАНТИРОВАННОЙ SLA (соглашением об уровне обслуживания) доступностью.

Processing integrity

1611259624833.png

Принцип целостности обработки определяет, достигает ли система своей цели (т.е.поставляет ли нужные данные по правильной цене в нужное время).

Соответственно, обработка данных должна быть полной, действительной, точной, своевременной и санкционированной.

Однако целостность обработки не обязательно подразумевает целостность данных. Если данные содержат ошибки до их ввода в систему, их обнаружение обычно не входит в обязанности обрабатывающего объекта. Мониторинг обработки данных в сочетании с процедурами обеспечения качества может помочь обеспечить целостность обработки.

Confidentiality

1611259902430.png

Данные считаются конфиденциальными, если их доступ и раскрытие ограничены определенным кругом лиц или организаций.

Примеры могут включать данные, предназначенные только для персонала компании, а также бизнес-планы, интеллектуальную собственность, внутренние прайс-листы и другие типы конфиденциальной финансовой информации.

Шифрование - важный элемент защиты конфиденциальности во время передачи. Сетевые и прикладные брандмауэры вместе со строгим контролем доступа могут использоваться для защиты информации, обрабатываемой или хранящейся в компьютерных системах.

Privacy

1611260167407.png

Принцип конфиденциальности касается сбора, использования, хранения, раскрытия и удаления личной информации системой в соответствии с уведомлением о конфиденциальности организации, а также критериями, изложенными в общепринятых принципах конфиденциальности AICPA (GAPP).

Персональная идентифицирующая информация (PII) относится к деталям, которые могут отличить человека (например, имя, адрес, номер социального страхования).

Некоторые персональные данные, касающиеся здоровья, расы, сексуальности и религии, также считаются конфиденциальными и обычно требуют дополнительного уровня защиты.

Должны быть введены средства управления для защиты всей PII от несанкционированного доступа.

Важность соответствия SOC 2

soc-2-compliance.png

Хотя соответствие SOC 2 не является требованием для поставщиков SaaS и облачных вычислений, его роль в защите ваших данных невозможно переоценить.
 
Верх Низ