Vander
Команда форума
- 10.11.2019
- 472
- 1 083
Информационная безопасность является поводом для беспокойства всех организаций, включая те, которые передают ключевые бизнес-операции сторонним поставщикам (например, SaaS, поставщикам облачных вычислений). Это справедливо, поскольку неправильная обработка данных, особенно поставщиками приложений и сетевых служб безопасности, может сделать предприятия уязвимыми для атак, таких как кража данных, вымогательство и установка вредоносных программ.
SOC 2 - это процедура аудита, которая обеспечивает безопасное управление вашими данными поставщиками услуг для защиты интересов вашей организации и конфиденциальности ее клиентов. Для предприятий, заботящихся о безопасности, соответствие SOC 2 является минимальным требованием при выборе поставщика SaaS.
Что такое SOC 2 Разработанный Американским институтом CPA (AICPA), SOC 2 определяет критерии для управления данными клиентов на основе пяти «принципов доверительного обслуживания» :
- Безопасность
- Доступность
- Целостность обработки
- Конфиденциальность
- Приватность
Эти внутренние отчеты предоставляют вам (наряду с регулирующими органами, деловыми партнерами, поставщиками и т. Д.) Важную информацию о том, как ваш поставщик услуг управляет данными.
Есть два типа отчетов SOC:
- Тип I описывает системы поставщика и соответствие их конструкции соответствующим принципам доверия.
- Тип II описывает операционную эффективность этих систем.
Принципы доверия разбиты следующим образом:
Security
Принцип безопасности относится к защите системных ресурсов от несанкционированного доступа.
Средства контроля доступа помогают предотвратить возможное злоупотребление системой, кражу или несанкционированное удаление данных, неправомерное использование программного обеспечения и ненадлежащее изменение или раскрытие информации.
Инструменты ИТ-безопасности, такие как межсетевые экраны сетей и веб-приложений (WAF), двухфакторная аутентификация и обнаружение вторжений, полезны для предотвращения нарушений безопасности, которые могут привести к несанкционированному доступу к системам и данным.
Availability
Принцип доступности относится к доступности системы, продуктов или услуг, как это предусмотрено контрактом или соглашением об уровне обслуживания (SLA).
Таким образом, минимально допустимый уровень производительности для доступности системы устанавливается обеими сторонами. Этот принцип не касается функциональности и удобства использования системы, но включает критерии безопасности, которые могут повлиять на доступность.
В этом контексте критически важны мониторинг производительности и доступности сети, аварийное переключение сайтов и обработка инцидентов безопасности.
99,999%
Термин “пять девяток” означает доступность 99,999% и встречается в маркетинговой литературе не реже, чем в технической. Считается, что сайт или система с уровнем доступности «пять девяток» — это и есть высокая доступность.

Высокая доступность нужна всем.
99,999% доступности — это всего 5,3 минуты простоя в год. Но даже те датацентры, которые гарантируют 100% доступность нередко пускаются на маркетинговые ухищрения.
Например, вычитают время регламентного обслуживания из времени доступности. К примеру, дата-центр обещает доступность 99.99%, но в момент, когда проводит плановые работы по замене чего-нибудь пишет “проводятся регламентные работы в течение 2 часов” и не считает это за недоступность. Отсюда вывод — читайте соглашение об уровне обслуживания (SLA) внимательно.
Если вы хотите обеспечить максимально высокую доступность вашему сайту на одном единственном сервере, выбирайте датацентр с хорошей ГАРАНТИРОВАННОЙ SLA (соглашением об уровне обслуживания) доступностью.
Processing integrity
Принцип целостности обработки определяет, достигает ли система своей цели (т.е.поставляет ли нужные данные по правильной цене в нужное время).
Соответственно, обработка данных должна быть полной, действительной, точной, своевременной и санкционированной.
Однако целостность обработки не обязательно подразумевает целостность данных. Если данные содержат ошибки до их ввода в систему, их обнаружение обычно не входит в обязанности обрабатывающего объекта. Мониторинг обработки данных в сочетании с процедурами обеспечения качества может помочь обеспечить целостность обработки.
Confidentiality
Примеры могут включать данные, предназначенные только для персонала компании, а также бизнес-планы, интеллектуальную собственность, внутренние прайс-листы и другие типы конфиденциальной финансовой информации.
Шифрование - важный элемент защиты конфиденциальности во время передачи. Сетевые и прикладные брандмауэры вместе со строгим контролем доступа могут использоваться для защиты информации, обрабатываемой или хранящейся в компьютерных системах.
Privacy
Персональная идентифицирующая информация (PII) относится к деталям, которые могут отличить человека (например, имя, адрес, номер социального страхования).
Некоторые персональные данные, касающиеся здоровья, расы, сексуальности и религии, также считаются конфиденциальными и обычно требуют дополнительного уровня защиты.
Должны быть введены средства управления для защиты всей PII от несанкционированного доступа.
Важность соответствия SOC 2
Хотя соответствие SOC 2 не является требованием для поставщиков SaaS и облачных вычислений, его роль в защите ваших данных невозможно переоценить.