Цифры говорят
Соответствие требованиям SOC 2 в России
31.08.2021 |
SOC 2 - это процедура аудита, которая гарантирует, что поставщики услуг надежно управляют вашими данными для защиты интересов вашей организации и конфиденциальности ее клиентов. Для предприятий, заботящихся о безопасности, соответствие стандарту SOC 2 является минимальным требованием при выборе поставщика SaaS.
Что такое SOC 2?
Разработанный Американским институтом CPA (AICPA), SOC 2 определяет критерии управления данными клиентов на основе пяти "принципов доверительного обслуживания" - безопасность, доступность, целостность обработки, конфиденциальность и приватность.
Кто проводит аудит/оценку соответствия по SOC 2 в России?
Помимо организаций большой четверки аудиторов, в России не так много профильных компаний, способных оценить соответствие SOC 2. Наиболее релевантным опытом обладает компаний RTM Group. Наличие локальных лицензий ФСТЭК и ФСБ, позволяют проводить соответствующие работы на российском рынке.
Критерии сертификации SOC 2
В отличие от PCI DSS, который имеет очень жесткие требования, отчеты SOC 2 уникальны для каждой организации. В соответствии с конкретной деловой практикой каждая из них разрабатывает свои собственные средства контроля для соблюдения одного или нескольких принципов доверия.
Эти внутренние отчеты предоставляют вам (наряду с регулирующими органами, деловыми партнерами, поставщиками и т.д.) важную информацию о том, как ваш поставщик услуг управляет данными.
Существует два типа отчетов SOC
- Тип I описывает системы поставщика услуг и то, подходит ли их конструкция для соблюдения соответствующих принципов доверия.
- Тип II подробно описывает операционную эффективность этих систем.
Сертификация SOC 2
Сертификат SOC 2 выдается внешними аудиторами. Они оценивают степень соответствия поставщика одному или нескольким из пяти принципов доверия на основе имеющихся систем и процессов.
Принципы доверия подразделяются следующим образом:
1. Безопасность
Принцип безопасности относится к защите системных ресурсов от несанкционированного доступа. Средства контроля доступа помогают предотвратить потенциальное злоупотребление системой, кражу или несанкционированное удаление данных, неправильное использование программного обеспечения, а также ненадлежащее изменение или раскрытие информации.
Инструменты ИТ-безопасности, такие как сетевые экраны и брандмауэры веб-приложений (WAF), двухфакторная аутентификация и обнаружение вторжений, полезны для предотвращения нарушений безопасности, которые могут привести к несанкционированному доступу к системам и данным.
2. Доступность
Принцип доступности относится к доступности системы, продуктов или услуг в соответствии с условиями контракта или соглашения об уровне обслуживания (SLA). Таким образом, минимально допустимый уровень производительности для доступности системы устанавливается обеими сторонами.
Этот принцип не затрагивает функциональность и удобство использования системы, но включает критерии, связанные с безопасностью, которые могут повлиять на доступность. Мониторинг производительности и доступности сети, отказоустойчивость сайта и обработка инцидентов безопасности имеют решающее значение в этом контексте.
3. Целостность обработки
Принцип целостности обработки данных касается того, достигает ли система своей цели (т.е. предоставляет нужные данные по нужной цене в нужное время). Соответственно, обработка данных должна быть полной, достоверной, точной, своевременной и санкционированной.
Однако целостность обработки не обязательно подразумевает целостность данных. Если данные содержат ошибки до их ввода в систему, их обнаружение обычно не входит в обязанности обрабатывающей организации. Мониторинг обработки данных в сочетании с процедурами обеспечения качества может помочь обеспечить целостность обработки.
4. Конфиденциальность
Данные считаются конфиденциальными, если их доступ и раскрытие ограничены определенным кругом лиц или организаций. В качестве примера можно привести данные, предназначенные только для персонала компании, а также бизнес-планы, интеллектуальную собственность, внутренние прайс-листы и другие виды конфиденциальной финансовой информации.
Шифрование является важным средством защиты конфиденциальности при передаче данных. Сетевые и прикладные брандмауэры, а также строгий контроль доступа могут использоваться для защиты информации, обрабатываемой или хранимой в компьютерных системах.
5. Конфиденциальность
Принцип конфиденциальности касается сбора, использования, хранения, раскрытия и уничтожения личной информации в системе в соответствии с уведомлением организации о конфиденциальности, а также с критериями, изложенными в общепринятых принципах конфиденциальности AICPA (GAPP).
Личная идентифицируемая информация (PII) относится к деталям, которые могут отличить человека (например, имя, адрес, номер социального страхования). Некоторые личные данные, связанные со здоровьем, расой, сексуальностью и религией, также считаются чувствительными и, как правило, требуют дополнительного уровня защиты. Для защиты всех PII от несанкционированного доступа должны быть установлены средства контроля.
Интересные ссылки
- UserGate запускает собственный SOC
- Сужение горизонта планирования и дефицит кадров: «Инфосистемы Джет» представила результаты опроса руководителей ИБ
- Представители бизнеса, государства и общественных организаций рассказали об инструментах защиты пользователей в интернете
- МТС RED отразил свыше 6 тысяч DDoS-атак в первом квартале 2024 года
- За рамками NGFW: UserGate расширяет компетенции
СПЕЦПРОЕКТ
ECM.ICT-ONLINE Автоматизация процессов документооборота и делопроизводства
