Содержание статьи
Информационная безопасность является поводом для беспокойства всех организаций, включая те, которые передают ключевые бизнес-операции сторонним поставщикам (например, SaaS, поставщикам облачных вычислений). Это справедливо, поскольку неправильная обработка данных - особенно поставщиками приложений и поставщиков сетевой безопасности - может сделать предприятия уязвимыми для атак, таких как кража данных, вымогательство и установка вредоносных программ.
SOC 2 - это процедура аудита, которая обеспечивает безопасное управление вашими данными поставщиками услуг для защиты интересов вашей организации и конфиденциальности ее клиентов. Для предприятий, заботящихся о безопасности, соответствие SOC 2 является минимальным требованием при выборе поставщика SaaS.
Что такое SOC 2
SOC 2, разработанный Американским институтом CPA (AICPA), определяет критерии для управления данными клиентов на основе пяти «принципов доверительного обслуживания»: безопасность, доступность, целостность обработки, конфиденциальность и конфиденциальность.
Критерии сертификации SOC 2.
В отличие от стандарта PCI DSS, который предъявляет очень жесткие требования, отчеты SOC 2 уникальны для каждой организации. В соответствии со своей деловой практикой каждый разрабатывает свои собственные средства контроля, чтобы соответствовать одному или нескольким принципам доверия.
Эти внутренние отчеты предоставляют вам (наряду с регулирующими органами, деловыми партнерами, поставщиками и т. д.) Важную информацию о том, как ваш поставщик услуг управляет данными.
Есть два типа отчетов SOC:
Сертификация SOC 2
Сертификат SOC 2 выдается внешними аудиторами. Они оценивают степень, в которой поставщик соблюдает один или несколько из пяти принципов доверия на основе имеющихся систем и процессов.
Принципы доверия разбиты следующим образом:
1. Безопасность
Принцип безопасности относится к защите системных ресурсов от несанкционированного доступа. Средства контроля доступа помогают предотвратить возможное злоупотребление системой, кражу или несанкционированное удаление данных, неправомерное использование программного обеспечения и ненадлежащее изменение или раскрытие информации.
Инструменты ИТ-безопасности, такие как межсетевые экраны сети и веб-приложений (WAF), двухфакторная аутентификация и обнаружение вторжений, полезны для предотвращения нарушений безопасности, которые могут привести к несанкционированному доступу к системам и данным.
2. Доступность
Принцип доступности относится к доступности системы, продуктов или услуг, как это предусмотрено контрактом или соглашением об уровне обслуживания (SLA). Таким образом, минимально допустимый уровень производительности для доступности системы устанавливается обеими сторонами.
Этот принцип не касается функциональности и удобства использования системы, но включает критерии безопасности, которые могут повлиять на доступность. В этом контексте критически важны мониторинг производительности и доступности сети, аварийное переключение сайтов и обработка инцидентов, связанных с безопасностью.
3. Целостность обработки
Принцип целостности обработки определяет, достигает ли система своей цели (т. е. доставляет ли нужные данные по правильной цене в нужное время). Соответственно, обработка данных должна быть полной, действительной, точной, своевременной и санкционированной.
Однако целостность обработки не обязательно подразумевает целостность данных. Если данные содержат ошибки до их ввода в систему, их обнаружение обычно не входит в обязанности обрабатывающего объекта. Мониторинг обработки данных в сочетании с процедурами обеспечения качества может помочь обеспечить целостность обработки.
4. Конфиденциальность
Данные считаются конфиденциальными, если их доступ и раскрытие ограничены определенным кругом лиц или организаций. Примеры могут включать данные, предназначенные только для персонала компании, а также бизнес-планы, интеллектуальную собственность, внутренние прайс-листы и другие типы конфиденциальной финансовой информации.
Шифрование - важный элемент защиты конфиденциальности во время передачи. Сетевые и прикладные брандмауэры вместе со строгим контролем доступа могут использоваться для защиты информации, обрабатываемой или хранящейся в компьютерных системах.
Принцип конфиденциальности касается сбора, использования, хранения, раскрытия и удаления личной информации системой в соответствии с уведомлением о конфиденциальности организации, а также с критериями, изложенными в общепринятых принципах конфиденциальности AICPA (GAPP).
Личная идентифицирующая информация (PII) относится к деталям, которые могут отличить человека (например, имя, адрес, номер социального страхования). Некоторые личные данные, касающиеся здоровья, расы, сексуальной ориентации и религии, также считаются конфиденциальными и обычно требуют дополнительного уровня защиты. Должны быть введены средства управления для защиты всей PII от несанкционированного доступа.
Важность соответствия SOC 2
Хотя соответствие SOC 2 не является требованием для поставщиков SaaS и облачных вычислений, его роль в защите ваших данных невозможно переоценить.
Imperva проходит регулярные аудиты, чтобы гарантировать соблюдение требований каждого из пяти принципов доверия и соответствие требованиям SOC 2. Соответствие требованиям распространяется на все предоставляемые нами услуги, включая безопасность веб-приложений, защиту от DDoS-атак, доставку контента через CDN, балансировку нагрузки и анализ атак.
- Что такое SOC 2
- Сертификация SOC 2
- Важность соответствия SOC 2
Информационная безопасность является поводом для беспокойства всех организаций, включая те, которые передают ключевые бизнес-операции сторонним поставщикам (например, SaaS, поставщикам облачных вычислений). Это справедливо, поскольку неправильная обработка данных - особенно поставщиками приложений и поставщиков сетевой безопасности - может сделать предприятия уязвимыми для атак, таких как кража данных, вымогательство и установка вредоносных программ.
SOC 2 - это процедура аудита, которая обеспечивает безопасное управление вашими данными поставщиками услуг для защиты интересов вашей организации и конфиденциальности ее клиентов. Для предприятий, заботящихся о безопасности, соответствие SOC 2 является минимальным требованием при выборе поставщика SaaS.
Что такое SOC 2
SOC 2, разработанный Американским институтом CPA (AICPA), определяет критерии для управления данными клиентов на основе пяти «принципов доверительного обслуживания»: безопасность, доступность, целостность обработки, конфиденциальность и конфиденциальность.
Критерии сертификации SOC 2.
В отличие от стандарта PCI DSS, который предъявляет очень жесткие требования, отчеты SOC 2 уникальны для каждой организации. В соответствии со своей деловой практикой каждый разрабатывает свои собственные средства контроля, чтобы соответствовать одному или нескольким принципам доверия.
Эти внутренние отчеты предоставляют вам (наряду с регулирующими органами, деловыми партнерами, поставщиками и т. д.) Важную информацию о том, как ваш поставщик услуг управляет данными.
Есть два типа отчетов SOC:
- Тип I описывает системы поставщика и соответствие их конструкции соответствующим принципам доверия.
- Тип II описывает операционную эффективность этих систем.
Сертификация SOC 2
Сертификат SOC 2 выдается внешними аудиторами. Они оценивают степень, в которой поставщик соблюдает один или несколько из пяти принципов доверия на основе имеющихся систем и процессов.
Принципы доверия разбиты следующим образом:
1. Безопасность
Принцип безопасности относится к защите системных ресурсов от несанкционированного доступа. Средства контроля доступа помогают предотвратить возможное злоупотребление системой, кражу или несанкционированное удаление данных, неправомерное использование программного обеспечения и ненадлежащее изменение или раскрытие информации.
Инструменты ИТ-безопасности, такие как межсетевые экраны сети и веб-приложений (WAF), двухфакторная аутентификация и обнаружение вторжений, полезны для предотвращения нарушений безопасности, которые могут привести к несанкционированному доступу к системам и данным.
2. Доступность
Принцип доступности относится к доступности системы, продуктов или услуг, как это предусмотрено контрактом или соглашением об уровне обслуживания (SLA). Таким образом, минимально допустимый уровень производительности для доступности системы устанавливается обеими сторонами.
Этот принцип не касается функциональности и удобства использования системы, но включает критерии безопасности, которые могут повлиять на доступность. В этом контексте критически важны мониторинг производительности и доступности сети, аварийное переключение сайтов и обработка инцидентов, связанных с безопасностью.
3. Целостность обработки
Принцип целостности обработки определяет, достигает ли система своей цели (т. е. доставляет ли нужные данные по правильной цене в нужное время). Соответственно, обработка данных должна быть полной, действительной, точной, своевременной и санкционированной.
Однако целостность обработки не обязательно подразумевает целостность данных. Если данные содержат ошибки до их ввода в систему, их обнаружение обычно не входит в обязанности обрабатывающего объекта. Мониторинг обработки данных в сочетании с процедурами обеспечения качества может помочь обеспечить целостность обработки.
4. Конфиденциальность
Данные считаются конфиденциальными, если их доступ и раскрытие ограничены определенным кругом лиц или организаций. Примеры могут включать данные, предназначенные только для персонала компании, а также бизнес-планы, интеллектуальную собственность, внутренние прайс-листы и другие типы конфиденциальной финансовой информации.
Шифрование - важный элемент защиты конфиденциальности во время передачи. Сетевые и прикладные брандмауэры вместе со строгим контролем доступа могут использоваться для защиты информации, обрабатываемой или хранящейся в компьютерных системах.
Принцип конфиденциальности касается сбора, использования, хранения, раскрытия и удаления личной информации системой в соответствии с уведомлением о конфиденциальности организации, а также с критериями, изложенными в общепринятых принципах конфиденциальности AICPA (GAPP).
Личная идентифицирующая информация (PII) относится к деталям, которые могут отличить человека (например, имя, адрес, номер социального страхования). Некоторые личные данные, касающиеся здоровья, расы, сексуальной ориентации и религии, также считаются конфиденциальными и обычно требуют дополнительного уровня защиты. Должны быть введены средства управления для защиты всей PII от несанкционированного доступа.
Важность соответствия SOC 2
Хотя соответствие SOC 2 не является требованием для поставщиков SaaS и облачных вычислений, его роль в защите ваших данных невозможно переоценить.
Imperva проходит регулярные аудиты, чтобы гарантировать соблюдение требований каждого из пяти принципов доверия и соответствие требованиям SOC 2. Соответствие требованиям распространяется на все предоставляемые нами услуги, включая безопасность веб-приложений, защиту от DDoS-атак, доставку контента через CDN, балансировку нагрузки и анализ атак.
