Что такое SOC 2

Учитывая важность информационной безопасности, особенно с свете того, как предприятия все чаще передают на аутсорсинг жизненно важные и узкоспециализированные задачи, компании должны обеспечить постоянную безопасную работу с данными. Уязвимости приложений и сетей делают организации открытыми для различных атак, включая кражу данных, выкуп и установку вредоносных программ.

SOC 2 — это тип аудита, который гарантирует, что ваши сервисные организации обеспечивают безопасную операционную среду, в которой они легко могут управлять вашими конфиденциальными данными и защищать интересы вашей организации, а также конфиденциальность ваших клиентов. Аудит фокусируется на внутренних средствах контроля, которые ваша организация применяет для управления услугами своих клиентов.

Кто должен соответствовать требованиям SOC 2

Требования SOC 2 являются обязательными для всех ангажированных организаций, предоставляющих услуги на основе технологий и хранящих информацию о клиентах в облаке. К таким организациям относятся те, которые предоставляют облачные услуги, а также используют облако для хранения информации каждого соответствующего клиента.

Какова цель аудита SOC 2

Организации, предоставляющие услуги, становятся все более бесценными при оказании целого ряда жизненно важных услуг. Аудит SOC 2, также называемый Руководством AICPA «Отчетность о средствах контроля в сервисной организации, относящихся к безопасности, доступности, целостности обработки, конфиденциальности или конфиденциальности», используется компаниями, которые предоставляют услуги аутсорсинга и имеют доступ к данным клиентов.

Руководство SOC 2 было разработано для обеспечения того, чтобы данные клиентов оставались конфиденциальными, безопасными, частными и доступными для использования в случае необходимости. Кроме того, они обеспечивают гарантии полной, точной, своевременной и санкционированной обработки данных в системе. Наконец, что наиболее важно, отчет об аудите SOC 2 представляет собой аттестационный отчет, заверенный надежной зарегистрированной аудиторской фирмой. Его обслуживающая организация может предоставить в качестве доказательства соответствия требованиям своим организациям-пользователям.

Кому требуется аудит SOC 2

Аудит SOC 2 играет важную роль в нормативном надзоре, а также во внутренних процессах управления рисками и корпоративном управлении. Он обеспечивает компаниям-клиентам уверенность в безопасности данных, которые находятся за пределами их объектов и к которым имеют доступ их обслуживающие организации.

Любая организация, которой необходима подробная информация и гарантии контроля в обслуживающей компании, может запросить аудит SOC 2. К основным типам компаний, которые проходят аудит SOC 2, относятся те, которые предоставляют такие услуги, как хостинг данных, размещение, обработка данных, облачное хранение и программное обеспечение как услуга.

Эти поставщики услуг должны обеспечить передачу, хранение, обработку и утилизацию любых данных в соответствии с требованиями SOC, установленными AICPA. Аудиты SOC 2 могут проводиться как часть регулярной программы безопасности или если организация-пользователь подозревает, что в обслуживающей организации существует проблема безопасности данных с одним или несколькими критериями.

Структура SOC 2 — критерии доверительных услуг

Процесс аудита и отчетности SOC 2 руководствуется рамками, называемыми критериями доверительного обслуживания.

В их основе лежат пять критериев:

  1. Безопасность 

Данные и вычислительные системы предприятия полностью защищены от любого несанкционированного доступа, несанкционированного и ненадлежащего раскрытия информации, а также от любого возможного повреждения систем, которое может поставить под угрозу целостность обработки, доступность, конфиденциальность или секретность данных или систем, что повлияет на способность предприятия выполнять свои задачи.

  1. Доступность

Все информационные и вычислительные системы готовы и доступны для работы в любое время для достижения целей организации.

  1. Целостность обработки

Вся обработка в системе является полной, точной, действительной, своевременной и авторизованной для обеспечения того, что организация выполнит свои задачи.

  1. Конфиденциальность

Любая информация, обозначенная как конфиденциальная, остается в безопасности для достижения целей организации.

  1. Конфиденциальность личных данных

Вся личная информация, которая собирается, используется, сохраняется, хранится, раскрывается или уничтожается, должна соответствовать целям организации.

Виды аудита

Как и аудит SOC 1, SOC 2 имеет два различных типа отчетов.

SOC 2 Тип I

Этот тип аудита исследует средства контроля, которые сервисные организации используют для выполнения любого или всех пяти критериев доверительного обслуживания. Этот тип аудита описывает системы сервисной организации и дает уверенность в том, что средства контроля эффективно разработаны для удовлетворения соответствующих критериев доверия в определенный момент времени.

SOC 2 Тип II

Этот тип аудита включает дополнительное подтверждение того, что средства контроля сервисной организации проходят тестирование на предмет операционной эффективности в течение определенного периода времени. Организации-пользователи и их аудиторская группа обычно выбирают шесть месяцев в качестве периода времени для оценки.

Каковы основные требования к соответствию стандарту SOC 2

Самое главное требование SOC 2 заключается в том, что компании должны разработать политику и процедуры безопасности, которые должны быть прописаны и соблюдаться всеми. Эти политики и процедуры служат руководством для аудиторов, которые будут их проверять.

Что необходимо контролировать

Наиболее важные вещи, которые необходимо отслеживать, включают любую несанкционированную, необычную или подозрительную активность, связанную с данными, принадлежащими конкретному клиенту. Этот тип мониторинга обычно фокусируется на уровне конфигурации системы и доступа пользователей и отслеживает известную и неизвестную вредоносную активность, такую как фишинг или другие виды несанкционированного и неавторизованного доступа. Лучшим средством мониторинга является услуга непрерывного мониторинга безопасности.

Какие оповещения необходимы

Оповещения, установленные для обнаружения несанкционированного доступа к информации и данным клиента или любого другого аномального поведения, связанного с данными клиента, играют решающую роль в оказании помощи занятым ИТ-руководителям в выполнении требований SOC 2. Чтобы избежать ложных тревог и ненужных реакций на эти тревоги, важно искать систему, которая оповещает только тогда, когда необычная активность выходит за рамки нормальной операционной среды в соответствии с установленными политиками и процедурами.

Что включается в отчет об аудите SOC 2

При проведении аудита SOC 2 нет необходимости сосредотачиваться на контроле финансовой отчетности, поскольку эти вопросы рассматриваются в рамках аудита SOC 1. В отчете SOC 2 оцениваются нефинансовые средства контроля отчетности предприятия, связанные с безопасностью, доступностью, целостностью обработки, конфиденциальностью и приватностью системы.

В отчете об аудите SOC 2 аудитор дает письменную оценку системы внутреннего контроля обслуживающей организации. Он будет содержать определение бухгалтерской фирмы о том, имеются ли соответствующие средства контроля для решения каждого из выбранных критериев.

Архитектура кибербезопасности

Зачем нужна консолидированная архитектура кибербезопасности?Зачем нужна консолидированная архитектура кибербезопасности?

По мере того, как мир становится все более взаимосвязанным, а сети продолжают развиваться, обеспечение безопасности ИТ-среды становится все более сложным. Изощренные кибератаки последнего поколения быстро распространяются по всем направлениям и

Повышение ИТ-безопасности

Устойчивое повышение ИТ-безопасности с помощью анализа уязвимостейУстойчивое повышение ИТ-безопасности с помощью анализа уязвимостей

Цифровые процессы обеспечивают эффективность, но также и риски. Данные, хранящиеся в цифровом формате, становятся объектом кибератак – компании, органы власти и другие организации ежедневно сталкиваются с этим неприятным опытом. По

Автоматическое пентестирование

Почему важно автоматическое пентестированиеПочему важно автоматическое пентестирование

Кибербезопасность сегодня необходима для выживания компаний. Но насколько хорошо работают существующие меры? ИТ-инфраструктура и методы атак быстро меняются. То, что вчера было безопасным, сегодня может оказаться под угрозой. Автоматизированное тестирование